بسته تبلیغاتی SDK موبایل، کاربران iOS را در برابر حملات از راه دور آسیب‌پذیر می‌کند!

مشخص شده نسخه‌ی iOS از یک کیت توسعه تبلیغات تلفن همراه (SDK) که به وسیله‌ی توسعه‌دهندگان در چین و تایوان استفاده می‌شود، دارای کدی است که به عوامل مخرب اجازه می‌دهد تا از راه دور به دستگاه دسترسی داشته و اطلاعات حساس را از دستگاه‌ها سرقت کنند.

محققان مرکز فایرآی کشف کرده‌اند که این Vpon ad SDK در نظر گرفته شده برای iOS شامل کدی است که به توسعه‌دهندگان نرم‌افزار، سازندگان SDK و یا عوامل مخرب از شرکت‌ها یا افراد ثالث اجازه می‌دهد تا دستوراتی را از راه دور به نرم‌افزار ارسال کنند و به آن فرمان دهند تا به ضبط صدا، تصویر و یا عکس صفحه‌ی دستگاه بپردازد، مکان دستگاه را جمع‌آوری کند، به فهرست مخاطبین دسترسی یابد، پرونده‎ها را در درون جعبه شنی بخواند و تغییر دهد، داده‌ها را به کارگزارهای راه دور ارسال کند و نرم‌افزارهای نصب شده در دستگاه را تشخیص داده و اجرا کند.

کارشناسان مشخص کرده‌اند که این کد تنها در نسخه‌ای از Vpon SDK قرار دارد که با بستر AdsMogo یکپارچه شده است، شرکتی که ادعا می‌کند بزرگ‌ترین بستر طرف عرضه‌ی خدمات تلفن همراه (SSP) و تبادل تبلیغات در چین است.

به گفته‌ی شرکت فایرآی، قابلیت‌های مخربی که در استفاده از این SDK وجود دارند، از طریق افزونه‌ی Apache Cordova ارائه می‌شود که یک چهارچوب توسعه متن‌باز تلفن همراه است و به کاربران اجازه می‌دهد تا از تکنیک‌های وب همچون HTML۵ و جاوا اسکریپت برای توسعه‌ی کراس پلتفرم استفاده کنند.

این افزونه‌ی Cordova به توسعه‌دهندگان نرم‌افزار اجازه می‌دهد تا با سامانه عامل و سخت‌افزار تعامل برقرار کنند که شامل ارتباط با شتاب‌سنج، موقعیت‌یاب جغرافیایی، دوربین، رسانه، مخاطبین و حافظه‌ی ذخیره‌سازی نیز می‌شود.

در حالی که Vpon این افزونه‌ها را قرار داده است، قابلیت‌هایی که آن‌ها عرضه می‌کنند در دسترس توسعه‌دهندگان SDK استاندارد شرکت قرار ندارد. با این حال، AdsMogo نرم‌افزاری را ارائه می‌کند که به توسعه‌دهندگان اجازه می‌دهد تا با Vpon SDK برای استفاده از قابلیت‌های افزونه، یکپارچه شوند.

فایرآی گزارش داده که ۳۶ نرم‌افزار iOS را که حاوی این کد خطرناک بوده‌اند در فروشگاه اپل، اپ استور یافته است. اپل از این مشکل اطلاع پیدا کرده است، اما هنوز هیچ بازخوردی برای این شرکت امنیتی ارسال نکرده است. Vpon اطلاعیه‌ی فایرآی را نادیده گرفته و به درخواست ما برای اظهار نظر در این مورد تا زمان انتشار این مطلب پاسخی نداده است.

درحالی‌که محققان در طول تحقیقات خود برای کشف این نکته که آیا این کد مخرب در عمل مورد بهره‌برداری قرار گرفته، هنوز هیچ نوع ترافیک شبکه‌ای را کشف نکرده‌اند، اما آن‌ها می‌گویند که هیچ توجیهی برای استفاده از این کد توسط Vpon وجود ندارد.

کارشناسان اشاره کرده‌اند که علاوه بر ارائه‌دهنده‌ی این SDK، مهاجمی که دارای وضعیت ممتازی در شبکه باشد هم می‌تواند از این قابلیت‌های ارائه شده در این SDK برای هدف قرار دادن کاربران استفاده کند.

این اولین باری نیست که شرکت فایرآی به شرح جزییات تهدیدهای مرتبط با SDK ها می‌پردازد. سال گذشته، این شرکت به تجزیه و تحلیل iBackdoor پرداخت که یک کتابخانه در پشتی بود و از جاوا اسکریپت برای دست‌کاری دستگاه‌ها و استخراج داده‌های حساس از آن‌ها استفاده می‌کرد.

محققان شرکت فایرآی، جینگ زی و جیمی سو می‌گویند: «کتابخانه‌ای ثالث به ویژه کتابخانه‌های تبلیغاتی اغلب توسط جامعه بررسی نمی‌شوند. احتمال بسیاری وجود دارد که توسعه‌دهندگان نرم‌افزار، کتابخانه‌های ثالث را در درون آن‌ها ادغام کنند، بنابراین توسعه‌دهندگان باید با احتیاط عمل کنند».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.