وجود یک درب پشتی در دستگاه‌های تلفن Xiaomi

۱۸۵۶یک دانشجوی هلندی رشته علوم کامپیوتر متوجه وجود یک درب پشتی در گوشی‌های شیائومی شده است که به نفوذگران امکان نصب هرگونه برنامه‌ای را در این گوشی می‌دهد. این دانشجو که تیجس برونینک نام دارد، با تحلیل این گوشی تلفن همراه متوجه این مسئله شد. وی قبل از کشف این درب پشتی، تصمیم به بررسی برنامه‌ها و خدمات از پیش نصب‌شده در ROM تلفن هوشمند خود شده بود و در تلاش بود هدف از نصب این برنامه‌ها را بیابد.

پیش از این نیز محققان امنیتی با بررسی این برنامه‌ها و خدمات از پیش نصب‌شده، در مورد خطراتی که امنیت و حریم خصوصی کاربران را تهدید می‌کنند هشدار داده بودند.

برای نمونه، شرکت امنیتی Bluebox در مارس ۲۰۱۵ به همین شکل با بررسی این برنامه‌ها، متوجه وجود برخی بدافزارها و مسائل امنیتی در گوشی‌های شیائومی Mi ۴ شده بود. بررسی‌های محققان این شرکت در مورد این گوشی نشان داد که گروه‌های غیرمجاز اقدام به ساخت این گوشی کرده‌اند.

محققان شرکت امنیتی F-Secure نیز در آگوست ۲۰۱۴ با بررسی گوشی‌های جدید شیائومی RedMi ۱S ،‌متوجه شدند که این دستگاه‌ها اطلاعات کاربران را به یک کارگزار در کشور چین ارسال می‌کنند.

با توجه به این مسائل، می‌توان ادعا کرد که مشابه آنچه که برونینک کشف کرده است، در گذشته نیز مشاهده شده است. برونینک در بررسی‌های خود متوجه یک برنامه از پیش نصب‌شده مشکوک در تلفن خود شد که AnalyticsCore.apk نام داشته و به صورت ۲۴ ساعته در تلفن کار می‌کرد و کاربر نیز قادر به پاک کردن آن نبود.

وی در ادامه تلاش‌هایی را برای پرسش در مورد این برنامه در تالار پشتیبانی شرکت سازنده این گوشی کرد، اما موفق نبود و به همین دلیل تصمیم گرفت با استفاده از روش‌های مهندسی معکوس روی کدها، در مورد این برنامه اطلاعاتی را به دست آورد. وی سپس کشف کرد که این برنامه هر ۲۴ ساعت اقدام به بررسی وجود پرونده‌های به‌روزرسانی از کارگزار شیائومی می‌نماید. این برنامه اطلاعات شناسایی تلفن مانند مدل، شاخص IMEI، نشانی MAC، نانس (مقدار تصادفی و دلخواه)، نام بسته‌ّ‌ّها و همچنین امضای تلفن‌همراه را به این کارگزار ارسال می‌کند.

این دانشجوی علوم کامپیوتر همچنین کشف کرد که اگر این برنامه در کارگزار، نرم‌افزارهای جدیدتری با نام Analytics.apk را بیابد، به صورت خودکار و بدون اجازه کاربر، اقدام به بارگیری و نصب آن می‌کند.

سؤالی که در این جا در ذهن پیش می‌آید، این است که این برنامه به چه صورت اصالت یک پرونده به‌روزرسانی را بررسی می‌کند. علاوه بر این، مشخص نیست که در صورت اقدام مخرب یک نفوذگر و جابجایی این برنامه با یک نمونه تروجانی،‌ چه اتفاقی خواهد افتاد.

این دانشجو طی یک پست در این خصوص عنوان کرد: «سؤالی که در اینجا پیش می‌آید این است که آیا این برنامه نرم‌افزاری درست و قانونی است یا خیر و آیا آن‌گونه که نام آن نشان می‌دهد، یک برنامه تحلیلی است یا خیر. اگر این مسائل بررسی نشود، این مسئله به این منزله است که شرکت شیائومی می‌تواند هرگونه برنامه دلخواه خود را صرفاً به دلیل اینکه نام آن Analytics.apk است، در تلفن همراه نصب کند.»

برونینک همچنین متوجه شد که فرآیند به‌روزرسانی که در این گوشی‌ها انجام می‌شود، فاقد اصل اعتبارسنجی است. این مسئله نشان می‌دهد که نفوذگران می‌توانند به راحتی با استفاده از این تلفن‌های همراه یک نرم‌افزار مخرب را ارسال کرده و با استفاده از آن بهره‌برداری‌های ممکن را انجام دهند. علاوه بر این، این مسئله نشان می‌دهد که خود شرکت سازنده می‌تواند به راحتی با تغییر نام برنامه‌های دلخواه خود به Analytics.apk، این برنامه‌ها را نصب کند.

برونینک در این خصوص عنوان کرد: «به نظر می‌رسد که شرکت شیائومی می‌تواند تنها در عرض ۲۴ ساعت هرگونه بسته و یا برنامه دلخواه خود را روی تلفن همراه نصب کند. مشخص نیست که آیا در این فرآیند بخش App Installer دخیل است یا خیر، اما می‌توان بررسی کرد که آیا می‌توان برنامه Analytics.apk را وارد تلفن همراه کرده و منتظر ماند که این برنامه به صورت خودکار نصب شود.»

این دانشجوی هلندی تاکنون به هدف اصلی این برنامه پی نبرده است، اما به نظر می‌رسد که این برنامه در اصل یک درب پشتی است که راه را برای انجام حملات مجازی توسط نفوذگران فراهم می‌کند. چنین فرآیندی می‌تواند به راحتی توسط سرویس‌های اطلاعاتی به منظور ارسال نرم‌افزارهای نظارتی به میلیون‌ها دستگاه شیائومی مورد استفاده قرار گیرد.

برونینک در این خصوص عنوان کرد: «هرطور که تصور کنیم، این مسئله، در حقیقت یک آسیب‌پذیری است. دلیل این تصور این است که نفوذگران با داشتن شاخص IMEI و همچنین مدل تلفن شما، می‌توانند هرگونه برنامه دلخواه را روی تلفن شما نصب کنند و از این حیث، می‌توان این مسئله را یک آسیب‌پذیری تلقی کرد.»

همچنین با نگاهی ساده به مطالب عنوان‌شده در تالار شرکت در این خصوص، می‌توان موج نگرانی کاربران این شرکت را در مورد وجود این برنامه مرموز و مشکوک مشاهده کرد. یکی از این کاربران در این تالار نوشته است: «واقعاً نمی‌توان درک کرد که هدف از این برنامه چیست. حتی هنگامی که اقدام به پاک کردن آن می‌کنیم،‌ بعد از مدتی دوباره در تلفن ظاهر می‌شود.»

کاربران در این خصوص می‌توانند با مسدود کردن تمامی اتصالات مربوط به دامنه‌های شیائومی با استفاده از برنامه‌های دیوار آتش،‌ تا زمان پاسخ‌ این شرکت در این خصوص منتظر باشند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.