یک روت‌کیت خطرناک، ۳ میلیون تلفن همراه اندرویدی را تهدید می‌کند

۳دوباره در این پست خبری بد برای کاربران اندرویدی داریم. نزدیک به ۳ میلیون دستگاه اندرویدی در سراسر دنیا دارای آسیب‌پذیری هستند که امکان اجرای حمله‌ی مرد میانی را برای مهاجمان فراهم می‌کند. با بهره‌برداری از این حمله، مهاجمان می‌توانند کد دلخواه خود را بر روی دستگاه هدف اجرا کرده و کنترل دستگاه را در دست گیرند.

براساس گزارشی که توسط شرکت امنیتی BitSight منتشر شده، این آسیب‌پذیری به دلیل پیاده‌سازی ناامن سازوکار به‌روزرسانی OTA۱ بوجود می‌آید. این آسیب‌پذیری بر روی دستگاه‌های ارزان قیمت از جمله BLU Studio G وجود دارد.
این سازوکار آسیب‌پذیر OTA که در دستگاه‌های تلفن همراه شرکت چینی Ragentek وجود دارد، حاوی یک باینری مخفی است که با امتیازات ریشه اجرا شده و با ۳ میزبان به‌صورت رمزنگاری‌نشده ارتباط برقرار می‌کند.

مشکل بسیار پیچیده‌تر از افشای اطلاعات است. این باینری با امتیازاتِ ریشه، تنها اطلاعات حساس کاربر را برای مهاجم افشاء نمی‌کند بلکه مانند یک روت‌کیت عمل کرده و به مهاجم اجازه می‌دهد مانند یک کاربر با امتیازات ریشه بر روی دستگاه قربانی کد دلخواه را اجرا کند.
مشابه اشکالی که در دستگاه‌های استفاده‌کننده از سفت‌افزار شرکت Shanghai ADUPS Technology وجود داشت این آسیب‌پذیری جدید با شناسه‌ی CVE-۲۰۱۶-۶۵۶۴ نیز مربوط به سفت‌افزاری است که توسط یک شرکت چینی توسعه داده شده است.

سفت‌افزار AdUps تنها اطلاعات حساس کاربر را به سرقت می‌برد در حالی‌که سفت‌افزار شرکت Ragentek نه از ارتباطات رمزنگاری‌شده استفاده می‌کند و نه برای اعتبارسنجی برنامه‌ها از کدهای امضاشده بهره می‌برد.
این اشتباه بزرگ به یک مهاجم ِ راه دور اجازه می‌دهد اطلاعات قربانی را استخراج کند، کل دستگاه را پاک کند و حتی در یک شبکه‌ی همکاری به سامانه‌ها برای سرقت اطلاعات دسترسی داشته باشد.

این آسیب‌پذیری در چند نمونه از دستگاه‌های BLU Products کشف شده است با این حال دستگاه‌های شرکت‌های دیگر نیز در معرض آسیب‌پذیری هستند. در ادامه فهرستی از دستگاه‌های اندرویدی آسیب‌پذیر را مشاهده می‌کنید:
BLU Studio G
BLU Studio G Plus
BLU Studio ۶.۰ HD
BLU Studio X
BLU Studio X Plus
BLU Studio C HD
Infinix Hot X۵۰۷
Infinix Hot ۲ X۵۱۰
Infinix Zero X۵۰۶
Infinix Zero ۲ X۵۰۹
DOOGEE Voyager ۲ DG۳۱۰
LEAGOO Lead ۵
LEAGOO Lead ۶
LEAGOO Lead ۳i
LEAGOO Lead ۲S
LEAGOO Alfa ۶
IKU Colorful K۴۵i
Beeline Pro ۲
XOLO Cube ۵.۰

پس از تحلیل و بررسی این آسیب‌پذیری کشف شد که دستگاه آسیب‌پذیر تلاش می‌کند به ۳ دامنه‌ی اینترنتی از پیش پیکربندی‌شده متصل شود. دو مورد از این دامنه‌ها ثبت نشده‌اند و یکی به نام سفت‌افزار Ragentek ثبت شده است.
محققان می‌گویند اگر مهاجم از این ماجرا مطلع شود، می‌تواند دو دامنه‌ی ثبت‌نشده را ثبت کند و بدون نیاز به اجرای حمله‌ی مرد میانی بر روی ۳ میلیون دستگاه اندرویدی به اجرای کد دلخواه بپردازد. محققان پس از اینکه از این مسئله مطلع شدند، این دو دامنه را ثبت کردند تا از وقوع حمله جلوگیری شود.

تأثیر این آسیب‌پذیری بسیار قابل توجه بوده است. در حال حاضر محققان می‌توانند تلفن همراه BLU Studio G را مورد بهره‌برداری قرار داده و در مکانی از این دستگاه پرونده‌ای را نصب کنند که در این مکان تمامی امتیازات وجود دارد.
همان‌طور که ذکر شد محققان دو دامنه‌ی باقی‌مانده را ثبت کرده و اطلاعات ارسالی به سمت آن‌ها را جمع‌آوری می‌کنند و با دسته‌بندی این اطلاعات دریافتند که ۵۵ مدل دستگاه تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند.

تاکنون تنها BLU Products برای برطرف کردن این آسیب‌پذیری نرم‌افزارهای به‌روزرسانی را منتشر کرده است. هرچند کارایی این وصله هنوز توسط محققان امنیتی بررسی نشده است. برای دریافت اطلاعات دقیق راجع‌به این آسیب‌پذیری می‌توانید گزارش مربوطه را از اینجا مطالعه کنید.
در طول این یک هفته این دومین هشداری است که محققان امنیتی از وجود درب ِ پشتی در گوشی‌های اندرویدی منتشر کرده‌اند. اولین مورد اطلاعات شخصی کاربران را به کارگزارهای چینی ارسال می‌کرد و این مورد به نفوذگران اجازه می‌دهد کنترل کامل دستگاه قربانی را در دست گیرند.

۱. Over-the-Air

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter