بیشتر دستگاه‌های اندرویدی مستعد حملات دسترس‌پذیری Clickjacking هستند!

شرکت امنیت موبایل اسکای‌کیور روز سه‌شنبه هشدار داده است که حملات Clickjacking که در آن‌ها کاربران برای فعال کردن قابلیت‌های دسترس‌پذیری اندروید فریب می‌خورند، ممکن است در بیشتر دستگاه‌های اندروید رخ دهد.
قابلیت‌های دسترسی‌پذیری که به وسیله سامانه‎عامل اندروید ارائه می‌شود، می‌تواند برای افرادی که مبتلا به اختلال بینایی، شنوایی و یا حرکتی هستند، بسیار مفید باشد. با این حال این خدمات دسترس‌پذیری می‌تواند توسط مجرمان سایبری برای سرقت اطلاعات حساس و نصب نرم‌افزارها در دستگاه‌های آن‌ها به کار رود.
از زمانی که قابلیت‌های دسترس‌پذیری به صورت پیش‌فرض غیرفعال شده‌اند، مهاجمان نیاز دارند که راهی برای قانع کردن قربانیان برای فعال کردن آن‌ها بیابند تا بتوانند بدافزارهای خود را به کار اندازند. در بسیاری از موارد، آن‌ها به وسیله نمایش پیام‌های گمراه‌کننده‌ای که دستورالعمل‌هایی را برای فعال کردن دستی این قابلیت ارائه می‌کنند، به هدف خود می‌رسند.

در ماه مارس، محققان اسکای‌کیور نشان دادند که چگونه مهاجمان می‌توانند قابلیت‌های دسترس‌پذیری دستگاه‌های اندروید را با استفاده از Clickjacking فعال کنند. در واقع،‌ مهاجمان یک بازی درست می‌کنند که نیاز دارد که کاربر روی قسمت‌های خاصی از صفحه نمایش ضربه بزند. در حالی‎که کاربر تصور می‌کند که در حال انجام بازی است، آن‌ها در واقع در حال مرور گزینه‌های تنظیمات اندروید و فعال کردن قابلیت دسترس‌پذیری آن هستند.
گوگل به خوبی از این تهدیدی که با استفاده از ckickjacking انجام می‌شد باخبر بود و بنابراین قابلیت‌های حفاظتی بیشتری را در اندروید ۵ لالی‌پاپ قرار داد. به طور خاص، این شرکت اطمینان داد که اجازه دسترسی همچون تأیید نهایی دکمه OK برای فعال کردن قابلیت دسترس‌پذیری، نمی‌تواند به صورت پنهان انجام شود.
با این حال، محققان اسکای‌کیور کشف کرده‌اند که این حفاظت می‌تواند به وسیله ایجاد یک حفره‌‌ی پوششی بالای دکمه‌ی OK دور زده شود. برای جلوگیری از افزایش سوء ظن، این حفره شامل متن OK نیست و به جای آن در بخش سفید بالای دکمه قرار داده می‌شود.

گوگل در آخرین نسخه‌های اندروید حفاظت‌های بیشتری را قرار داده است. در اندروید ۶.x مارشمالو، کاربران خود باید به نرم‌افزارها اجازه دهند تا بتوانند یک پوشش روی سامانه انجام دهد که در نتیجه‌ی آن انجام این حمله به شکل قابل‌توجهی سخت‌تر خواهد شد. با این وجود، بیش از ۹۵ درصد از دستگاه‌های اندروید در حال حاضر نسخه‌هایی را اجرا می‌کنند که پایین‌تر از نسخه ۶ است و بنابراین در برابر حملات clickjacking برای فعال کردن قابلیت دسترس‌پذیری، آسیب‌پذیر هستند.
شرکت اسکای‌کیور در ماه مارس در مورد این حفره به گوگل اطلاع داده است، اما این غول جستجو گفته خطری که به وسیله‌ی این حفره‌ی طراحی شده وجود دارد، پایین است.
وجود بدافزار اندرویدی که از clickjacking استفاده کند، بی‌سابقه نیست. در اواخر ماه ژانویه، Symantec گزارش داد که یک باج‌افزار اندروید به نام Lockdroid از clickjacking برای دسترسی به مجوز مدیریت در دستگاه‌های آلوده استفاده می‌کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap