حفره‌ی SSL در Crosswalk اینتل موجب می‌شود تا نرم‌افزارها در معرض حملات مرد میانی قرار گیرند!

شرکت اینتل چارچوب Crosswalk خود را به‌روزرسانی کرد تا یک آسیب‌پذیری جدی را که موجب می‌شود تا نرم‌افزارهای موبایل در معرض حملات مرد میانی قرار گیرند، از بین ببرد.

پروژه‌ی Crosswalk که به‌وسیله‌ی مرکز فناوری متن‌باز اینتل توسعه یافته است یک نرم‌افزار اجرای وب است و به توسعه‌دهندگان اجازه می‌دهد تا کدهای پایه‌ی یکسانی را برای ایجاد نرم‌افزارهای تلفن همراهی استفاده کنند که در سامانه عامل‌های متعددی اجرا می‌شوند. Crosswalk با سامانه عامل‌های Apache Cordova، اندروید، iOS و ویندوز سازگار است و برای توسعه‌ی نرم‌افزارهای متعددی مورد استفاده قرار گرفته است که برخی از آن‌ها میلیون‌ها بار توسط کاربران بارگیری شده‌اند.

محققان مرکز امنیتی Nightwatch هنگامی‌که در حال آزمایش یکی از این نرم‌افزارها به نام FastMail برای اندروید بودند، به مشکلی با گواهینامه‌های SSL در پیاده‌سازی Crosswalk در اندروید برخورد کردند.

آن‌ها متوجه شدند که گواهینامه SSL نامعتبر و یا خود امضاء برای ارتباط با کارگزار استفاده شده است که در آن یک پیام خطا نمایش داده می‌شود و از کاربر خواسته می‌شود تا این گواهینامه را نپذیرد. اگر به این گواهینامه اجازه داده شود، سایر گواهینامه‌های SSL نیز به‌صورت پیش‌فرض بدون اینکه مورد بررسی قرار گیرند، پذیرفته می‌شوند.

مرکز امنیتی سایبری Nightwatch در وب‌نوشت خود آورده است: «اگر کاربر به این گواهینامه اجازه دهد، این انتخاب برای موارد بعدی نیز به یاد می‌ماند و از این لحظه همه‌ی درخواست‌های بعدی با گواهینامه‌های SSL نامعتبر توسط نرم‌افزار پذیرفته خواهند شد و هیچ‌کدام دوباره مورد بررسی قرار نخواهند گرفت. این موضوع حتی در مورد اتصالاتی که با نقاط اتصال وای‌فای و گواهینامه‌های مختلف برقرار می‌شوند نیز صحت دارند».

این حفره به عوامل مخرب اجازه می‌دهد تا به انجام حملات مرد میانی پرداخته و اطلاعات بالقوه حساسی را که به‌وسیله‌ی نرم‌افزارهایی که از گواهینامه‌های SSL انتقال می‌یابند، سرقت کنند.

این حفره که به شناسه CVE-۲۰۱۶-۵۶۷۲ مشخص شده است، در اواخر ماه می به شرکت اینتل و مرکز هماهنگی گواهینامه‌ها (CERT/CC) گزارش شده است. هفته‌ی گذشته اینتل این آسیب‌پذیری را با انتشار نسخه‌های ۱۹.۴۹.۵۱۴.۵ (به‌صورت پایدار) و ۲۰.۵۰.۵۳۳.۱۱ (به‌صورت بتا) و ۲۱.۵۱.۵۴۶.۰ (به‌صورت بتا) و ۲۲.۵۱.۵۴۹.۰ (نسخه‌ی آزمایشی اولیه) وصله کرده است. شرکت اینتل و مرجع CERT/CC هر کدام به‌صورت جداگانه مشاوره‌نامه‌های خود را منتشر کرده‌اند.

این اولین باری نیست که مرکز امنیت سایبری Nightwatch به گزارش مشکلات یافت شده‌ی SSL در نرم‌افزارهای محبوب می‌پردازد. ماه گذشته این شرکت یک حفره‌ی SSL را کشف کرد که بر Silk که یک مرورگر اینترنتی مبتنی بر Chromium بوده و برای فضای ابری بهینه شده است و در تبلت‌های Kindle Fire شرکت آمازون و Fire Phone های این شرکت استفاده می‌شود، تأثیر می‌گذارد.

کارشناسان متوجه شدند که اگر کاربران کیندل گوگل را به‌عنوان موتور جستجوی پیش‌فرض خود انتخاب کنند، مرورگر Silk از تغییر مسیر کاربران به نسخه‌های HTTPS از وب‌گاه‌ها جلوگیری می‌کند. این کار موجب می‌شود تا نفوذگران بتوانند یک حمله‌ی مرد میانی را با نفوذ در ترافیک جستجوی آن‌ها صورت دهند. شرکت آمازون این حفره‌ی امنیتی را در نسخه‌ی ۵۱.۲.۱ از مرورگر Silk خود وصله کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.