چاپ        ارسال به دوست

استفاده از SDK های تبلیغاتیِ آسیب‌پذیر و افشای اطلاعات در میلیون‌ها برنامه‌ی کاربردی

میلیون‌ها برنامه‌ی کاربردی اطلاعات قابل شناسایی کاربران مانند نام، سن و حتی شماره تلفن و آدرس رایانامه‌ی آن‌ها را افشاء می‌کنند. علت اصلی این مشکل نیز توسعه‌دهندگان برنامه‌های کاربردی هستند که از داده‌های تبلیغات هدفمند که به سمت تبلیغ‌کنندگان شخص ثالث منتقل می‌شود، محافظت نمی‌کنند. 

 

یکی از پژوهش‌گران آزمایشگاه امنیتی کسپرسکی نتایج تحقیقات خود را در کنفرانس RSA که در سان‌فرانسیسکو برگزار شد، ارائه کرد و گفت: «اولین بار که مقیاس چنین اتفاقی را بررسی کردیم، متوجه شدیم که برنامه‌هایی که با بی‌دقتی طراحی شده‌اند بسیار زیاد هستند. در میلیون‌ها برنامه‌ی کاربردی که در آن‌ها کیت‌های توسعه‌ی نرم‌افزاری (SDK) شخص ثالث وجود دارد، داده‌های خصوصی کاربران به حالت محافظت‌نشده ارسال شده و قابل شنود و تغییر هستند که می‌تواند حملات دیگری مانند نصب بدافزارهای مختلف را به دنبال داشته باشد.»

پژوهش‌گران می‌گویند داده‌هایی که به‌طور محافظت‌نشده بر روی ارتباطات HTTP ارسال می‌شوند، توسط مهاجمانی که در یک شبکه‌ی وای‌فای قرار دارند، توسط ارائه‌دهندگان سرویس اینترنت (ISP ها) و یا حتی توسط بدافزارهایی که بر روی مسیریاب‌های خانگی نصب شده‌اند، قابل جمع‌آوری هستند.

پژوهش‌گران اعلام کردند فقط جمع‌آوری داده‌ها نیست و مهاجمان می‌توانند داده‌های محافظت‌نشده را پس از جمع‌آوری، ویرایش و دست‌کاری کنند که می‌تواند منجر به نمایش تبلیغات مخرب، هدایت کاربر به سمت دانلود تروجان و یا نصب بدافزار شود. پژوهش‌گران کسپرسکی مشکل اصلی را استفاده‌ی توسعه‌دهندگان برنامه از SKD های مربوط به شبکه‌های تبلیغاتی می‌دانند. 

 

بررسی‌های پژوهش‌گران نشان می‌دهد که این کیت‌های توسعه‌ی نرم‌افزار دارای آسیب‌پذیری‌های زیادی هستند و داده‌های پروفایل کاربران را به حالت محافظت‌نشده بین برنامه و کارگزار تبلیغاتی شخص ثالث ارسال می‌کنند. گزارش‌ها نشان می‌دهد این SDK های آسیب‌پذیر در میلیون‌ها برنامه‌ی کاربردی توسط توسعه‌دهندگان مورد استفاده قرار گرفته‌اند.

پژوهش‌گران در گزارشی گفتند: «ما دو درخواست محبوب HTTP یعنی GET و POST را جستجو کردیم. در درخواست‌های GET داده‌های کاربر در قالب پارامترهای URL ارسال می‌شود، در حالی‌که در درخواست‌های POST داده‌های کاربر در بخش محتوای درخواست ارسال می‌شود و نه در بخش URL. ما در بررسی‌های خود به دنبال داده‌های محافظت‌نشده‌ای بودیم که حداقل با یکی از این درخواست‌ها ارسال می‌شدند. در حالی‌که در بیشتر موارد داده‌های هر دو درخواست به‌حالت محافظت‌نشده ارسال می‌شدند.»

بررسی‌ها نشان داد که تقریبا ۴ میلیون APK داده‌های کاربران را در اینترنت افشاء می‌کنند. پژوهش‌گران اشاره کردند: «در برخی از موارد افشای اطلاعات به این دلیل بوده که توسعه‌دهنده در نوشتن کد برنامه اشتباهاتی کرده است ولی در بیشتر موارد علت افشای داده‌های کاربران، استفاده از SDK های شخص ثالث توسط توسعه‌دهندگان است.»

 

پژوهش‌گران هنوز نتوانسته‌اند تبلیغ‌کنندگانی که این SDK ها را ایجاد کرده‌اند، شناسایی کنند. در مثالی که پژوهش‌گران مشاهده کرده‌اند، یک فایل JSON به حالت رمزنگاری‌نشده از کارگزار تبلیغ‌کننده ارسال شده است. در این فایل JSON اطلاعات زیادی در مورد کاربر مانند اطلاعات دستگاه، تاریخ تولد، نام کاربری و موقعیت GPS وجود داشته است. 

پژوهش‌گران اعلام کردند توسعه‌دهندگان برنامه‌های مخرب نیز داده‌ها را به‌شیوه‌ای ناامن ارسال می‌کنند. در توضیحات پژوهش‌گران آمده است: «در موردبدافزارها این موضوع خیلی بدتر هم می‌شود چرا که می‌تواند اطلاعات حساس بیشتری مانند پیامک‌ها، تاریخچه‌ی تماس‌ها، مخاطبان و غیره را به سرقت ببرد. برنامه‌های مخرب فقط داده‌های کاربران را به سرقت نمی‌برند بلکه آن‌ها را برای استفاده‌ی دیگران و فروش در اینترنت به اشتراک می‌گذارند.» 

پژوهش‌گران به کاربران دستگاه‌های تلفن همراه توصیه کرده‌اند تا جایی که می‌توانند از VPN استفاده کنند. وقتی هم برنامه‌ای را بر روی دستگاه خود نصب می‌کنند، به مجوزهایی که برنامه درخواست می‌کند، توجه کنند. هرچه برنامه‌ای از شما مجوزهای زیادی را درخواست کند، پتانسیل حمله بیشتر بوده و با احتمال زیادی داده‌های شما به‌حالت محافظت‌نشده به سمت تبلیغ‌کننده‌ها ارسال می‌شود.

 


٠٩:٤٩ - يکشنبه ٢ ارديبهشت ١٣٩٧    /    شماره : ٣٠٨١    /    تعداد نمایش : ٤٣٣



خروج