کشف چند آسیب‌پذیری در نرم‌افزار کنفرانس کلاه‌ سیاه‌ها

پس ‌از اینکه محققان شرکت امنیت تلفن همراه Lookout کشف کردند که چندین اشکال در نرم‌افزارهای اندروید و iOS مربوط به کنفرانس کلاه ‌سیاه‌ها وجود دارد؛ که موجب جعل هویت و جاسوسی بر روی گوشی‌های همراه می‌شود؛ برگزارکنندگان این مراسم این نرم‌افزارها را به‌روزرسانی کردند.

نرم‌افزارهای کنفرانس کلاه‌سیاه‌های ۲۰۱۶ در آمریکا که به‌وسیله‌ی DoubleTouch برای برگزارکننده آن UBM نوشته شده است، به کاربران اجازه می‌دهد تا اطلاعاتی را در مورد دستورهای کار، سخنرانان، شرکت‌کنندگان، غرفه‌داران و حامیان مالی این کنفرانس به دست آورند. همچنین نرم‌افزاری که برای امسال ساخته شده بود دارای یک قابلیت اجتماعی نیز بود که به افراد اجازه می‌داد تا یک حساب کاربری ایجاد کرده و با دیگر شرکت‌کنندگان این مراسم در تماس باشند و پیام‌هایی را شبیه به فعالیت‌های توییتر در آن ارسال کنند.

پس‌ازاینکه محققان مرکز Lookout کشف کردند که برخی آسیب‌پذیری‌های جدی در مؤلفه‌ی اجتماعی این نرم‌افزار وجود دارد، این قابلیت از نرم‌افزار کنفرانس کلاه‌سیاه‌ها حذف شد. کارشناسان چندین شیوه را یافته‌اند که با کمک آن‌ها می‌توان هویت کاربران را در این نرم‌افزار جعل کرده و یا به جاسوسی در آن پرداخت.

برای مثال، این برنامه‌ها به کاربران اجازه می‌دادند که حساب خود را با هر نشانی رایانامه‌ای که می‌خواهند ثبت کنند بدون اینکه قبلاً از آن برای ثبت‌نام در یک حساب کاربری خود استفاده کرده باشند. چون نیازی نبود که کاربران رایانامه‌ی خود را برای ثبت‌نام تأیید کنند، مهاجمان می‌توانستند خود را به‌جای شرکت‌کنندگان جا بزنند و به انجام فعالیت پرداخته و پیام‌هایی را به دیگران از طرف آن‌ها ارسال کنند. مشخصات کاربری که توسط کاربران در این نرم‌افزار ایجاد می‌شد می‌توانست هر نوع اطلاعاتی را بپذیرد و حتی کار را برای جعل هویت دیگران آسان‌تر می‌کرد.

مشکلی دیگری که به‌وسیله‌ی شرکت Lookout کشف شد مربوط به قابلیت بازنشانی کلمه عبور بود. کارشناسان متوجه شدند که کاربری که در حساب خود وارد شده است حتی بعدازاینکه کلمه عبور حساب، تنظیم مجدد شده است، هنوز قادر به دسترسی به آن حساب است. این نقطه‌ضعف به این دلیل وجود دارد که توکن احراز هویت بعدازاینکه کلمه عبور بازنشانی شد، منقضی نمی‌شده است.

Lookout در یکی از ارسال‌های وب‌نوشت خود می‌نویسد: «یک مهاجم می‌تواند با پیش‌بینی از قبل (قبل از اینکه کاربر واقعی این کار را انجام دهد) با نام و نشانی هرکدام از شرکت‌کنندگانی که می‌خواهند در این نرم‌افزار وارد شوند، ثبت‌نام کند. بعد از انجام این کار، مهاجم می‌تواند دسترسی دائمی به حساب کاربری با این نشانی رایانامه داشته باشد، حتی در مواردی که کاربر واقعی کلمه عبور حساب کاربری خود را بازنشانی می‌کند، مهاجم دسترسی دائمی به حساب کاربری داشته و می‌تواند با جعل هویت قربانی به ارسال نظرات و جاسوسی بپردازد».

این اشکال با حذف قابلیت اجتماعی از برنامه‌های تلفن همراه کنفرانس کلاه‌سیاه‌های ۲۰۱۶ برطرف شده است. کاربران نیازی نداند تا کاری انجام دهند چرا که به‌روزرسانی به‌صورت خودکار بر روی دستگاه آن‌ها صورت خواهد گرفت.

این اولین باری نیست که محققان آسیب‌پذیری‌هایی را در نرم‌افزارهای تلفن همراهی که به‌ویژه برای کنفرانس‌های امنیتی ساخته می‌شوند، پیدا می‌کنند. کارشناسان امسال دست‌کم در دو حالت، حفره‌های امنیتی را در نرم‌افزارهای کنفرانس RSA یافتند و آن هنگامی بود که یک کلمه عبور توکار را در نرم‌افزار اندروید پیدا کردند که به‌وسیله‌ی فروشندگان برای بررسی نشان‌های بازدیدکنندگان مورد استفاده قرار می‌گرفت.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]