آسیبپذیری در ابزار مدیریت از راهدور اندروید
چکیده:
محققان امنیتی آسیبپذیری را در ابزار مدیریت از راهدور اندروید، AirDroid بر روی بیش از ۵۰ میلیون دستگاه کشف کردهاند. این آسیبپذیری برای ارتباط با کارگزار از کانالهای ارتباطی ناامن استفاده میکند و از طرف دیگر با قرار دادن کلید الگوریتم رمزنگاری در کد، راه را برای مهاجمان هموار کرده است. یک مهاجم میتواند با سواستفاده از این آسیبپذیری در پی بهروزرسانیهایی که ارسال میکند کد مخرب خود را نیز در دستگاه قربانی اجرا کند.
مقدمه
محققان امنیتی هشدار دادهاند که آسیبپذیری در ابزار مدیریت از راهدور اندروید، AirDroid بر روی بیش از ۵۰ میلیون دستگاه تاثیر خواهد گذاشت. این برنامهی کاربردی بین ۱۰ تا ۵۰ میلیون دانلود از طریق نرمافزار Google play داشته است و بر طبق گفتهی محققان آسیبپذیری موجود در AirDroid به مهاجم اجازهی بهرهبرداری از ویژگیهای درونی برنامه و استفاده از آنها برعلیه کاربران را میدهد.
آسیبپذیری AirDroid
طبق آنچه که تحقیقات نشان میدهد، AirDroid از کانالهای ارتباطی ناامن استفاده میکند و این به آن معناست که میلیونها کاربر این برنامهی کاربردی در معرض حملههای مرد میانی و دیگر فعالیتهای مخرب هستند. رخنه در اطلاعات همراه با ربودن بهروزرسانیهای APK و اجرای از راهدور کدها نیز در این مورد محتمل است.
همانطور که گفته شد در طی فرآیند تحلیل AirDroid، محققان کشف کردند که کانالهای ارتباطی که برای ارسال دادههای تشخیص هویت به کارگزارها استفاده میشوند، ناامن هستند. با وجود اینکه درخواستها با الگوریتم رمزنگاری استاندارد داده، رمز میشوند اما کلید رمزنگاری در درون برنامه قرار داده شده است و مهاجم میتواند با بررسی برنامه به آن دست پیدا کند.
در صورتی که یک مهاجم در شبکهی دستگاه هدف حضور داشته باشد میتواند با اجرای حملهی مرد میانی اعتبارنامهی تشخیص هویت را از درخواستهای اولیهی HTTP که برنامه ارسال کرده است، گرفته و با جعل هویت در درخواستهای بعدی خود را به عنوان آن کاربر معرفی کند. این اقدام از آنجا ناشی میشود که درخواستهای HTTP میتوانند با کلید 890jklms که در کد موجود است، در زمان اجرا رمزگشایی شوند و با تجزیه کردن JSON، پارامتر مربوط به تشخیص هویت کشف شود. با داشتن چنین اطلاعاتی، مهاجم میتواند خود را به جای کاربر در دستگاه قربانی جعل کند و درخواستهای HTTP یا HTTPS را در AirDroid ارسال کند. همچنین مهاجم میتواند به سادگی یک پیام رمزشدهی DES با کلید موجود برای فریب دادن کارگزار و دریافت اطلاعاتی مانند پستالکترونیکی و گذرواژه ایجاد کند.
خطر آسیبپذیری AirDroid به آنچه که گفته شد محدود نمیشود. یک مهاجم میتواند با اجرای حملهی مرد میانی ترافیک HTTP را یک پروکسی مخرب ارسال کند، پس قادر است پاسخ به درخواست /phone/vncupgrade را که برنامه از آن برای بهروزرسانیهای افزونه استفاده میکند، تغییر دهد. از آنجا که AirDroid بهروزرسانیها را به کاربر اعلام کرده و آنها را دانلود و نصب میکند، بنابراین مهاجم با تزریق یک بهروزرسانی جعلی میتواند کد مخرب خود را از راهدور در دستگاه قربانی اجرا کند.
مقابله با آسیبپذیری AirDroid
همانطور که گفته شد AirDroid برای مبادلهی بعضی از دادههایش از کانالهای ناامن استفاده میکند و با اینکه الگوریتمهای رمزنگاری در این بین استفاده شده است اما با قرار دادن کلید در کد برنامه رمزگشایی دادهها را برای مهاجمان راحت کرده است. برای حل این مسئله چندین اقدام باید صورت گیرد.
- برنامه باید فقط از کانالهای ارتباطی امن (HTTPS) استفاده کند.
- صحت کلید عمومی راهدور برای جلوگیری از حملههای مرد میانی باید بررسی شود.
- از راهکارهای مبادلهی امن برای کلید استفاده شود.
- از راهکارهای مبادلهی امن برای کلید استفاده شود.
- برای بهروزرسانی فایلها از امضاهای دیجیتالی استفاده شود.
مطابق با تحقیقات انجام شده، مواردی که بیان شد میتواند در رفع این آسیبپذیری سودمند واقع شود. در حال حاضر این آسیبپذیری در حال بررسی است تا در بهروزرسانیهای آینده برطرف شود اما محققان امنیتی توصیه کردهاند که تا زمان رفع شدن آسیبپذیری، برنامهی AirDroid از روی دستگاهها حذف و یا غیرفعال شود و از ضد بدافزار برای تشخیص چنین خطراتی استفاده شود.