پنجشنبه ۳۰ اردیبهشت ۱۴۰۰ - ۲۱:۳۲
۰ نفر

پیکربندی نادرست تعدادی از اپلیکیشن های اندروید که در گوگل پلی مشاهده می کنید، باعث شده که اطلاعات حساس بیش از ۱۰۰ میلیون کاربر به بیرون درز کند. به طوری که این آسیب‌پذیری، به طور بالقوه، کاربران این اپلیکیشن ها را تبدیل به هدفی سودجویانه برای سوءاستفاده‌گران کرده است.

افشای اطلاعات

به گزارش همشهری آنلاین از هکرنیوز،  پژوهشگران مرکز «چک پوینت» در تحلیلی که چند ساعت پیش منتشر شد، می گویند: «نادیده گرفتن روش های درست در زمان پیکربندی و تجمیع سرویس های ابری شخص ثالث(third-party) در اپلیکیشن ها، میلیون ها داده خصوصی کاربران را افشا کرده است.»

به گفته این مرکز، «اگرچه در برخی موارد، این نوع سوء استفاده فقط برای کاربران خطرناک است، با این حال، توسعه دهندگان هم از این آسیب پذیری در امان نمی مانند. با پیکربندی نادرست، اطلاعات شخصی کاربران و منابع داخلی توسعه دهندگان از جمله دسترسی به مکانیزم های به‌روزرسانی، ذخیره سازی و موارد دیگر در معرض خطر قرار دارد».

این یافته ها از بررسی ۲۳ اپلیکیشن اندرویدی موجود در فروشگاه رسمی گوگل پلی به دست آمده که بعضی از آنها از ۱۰ هزار تا ۱۰ میلیون دانلود شده اند. از جمله اپلیکیشن های آسیب‌پذیر می توان به Astro Guru، iFax، Logo Maker، Screen Recorder و T'Leva اشاره کرد.

آنگونه که چک پوینت اعلام کرده، این اتفاق باعث افشای ایمیل ها، شماره تلفن ها، پیام های چت ها، موقعیت مکانی، رمزهای عبور، پشتیبان گیری، تاریخچه مرورگر و عکس ها می شود.

این محققان می گویند که برای نمونه، ایمن نبودن پایگاه داده ای که باید مانع افشای هویت کاربران شود، باعث شده که اطلاعات متعلق به کاربران یک اپلیکیشن تاکسی اینترنتی به نام T'Leva، از جمله پیام های رد و بدل شده بین رانندگان و مسافران و همچنین نام کامل مسافران، شماره تلفن و اطلاعات مکانی مبدأ و مقصد آنها لو برود.

همچنین، مشخص شده است که توسعه دهندگان کلیدهایی را تعبیه کرده اند که برای ارسال نوتیفیکیشن های اپلیکیشن ها و دسترسی مستقیم به خدمات ذخیره سازی ابری داخل اپلیکیشن ها ضروری است. این کار نه تنها می تواند راه را برای سوءاستفاده کنندگان به منظور ارسال یک نوتیفیکیشن جعلی به همه کاربران از طرف توسعه دهنده آسان کند، بلکه می تواند حتی برای هدایت کاربران ناآگاه به یک صفحه فیشینگ مورد استفاده قرار بگیرد. به این ترتیب، این موضوع تهدیدات پیچیده تری را رقم می زند.

تعبیه کلیدهای دسترسی به ذخیره‌سازی ابری در اپلیکیشن ها، در عین حال، ورودی های دیگری را ایجاد می کند که یک غریبه می تواند همه داده های ذخیره شده در فضای ابری را در اختیار بگیرد. این آسیب‌پذیری در ۲ اپلیکیشن Screen Recorder و iFax مشاهده شده که به این ترتیب امکان دسترسی به آنچه در صفحه نمایش قرار دارد و همچنین اسناد فکس شده را فراهم می کند.

مرکز پژوهشی چک پوینت همچنین اعلام کرده است که فقط تعداد کمی از این اپلیکیشن ها در واکنش به این موضوع، پیکربندی خود را تغییر داده اند و این بدان معناست که کاربران سایر اپلیکیشن ها همچنان در معرض تهدیدهای احتمالی مانند کلاهبرداری و سرقت هویت هستند.

کد خبر 602391

برچسب‌ها

پر بیننده‌ترین اخبار فناوری‌

دیدگاه خوانندگان امروز

پر بیننده‌ترین خبر امروز

نظر شما

شما در حال پاسخ به نظر «» هستید.
captcha