وجود یک نقص امنیتی بزرگ در اپلیکیشن حفاظتی تلفن‌های شیائومی

یک شرکت تحقیقاتی در حوزه امنیت سایبری اعلام کرد که اپلیکیشن حفاظتی نصب‌شده در تلفن‌های شیائومی دارای نقص امنیتی بزرگی بوده و این نقص تبدیل به دروازه‌ای برای حملات مخرب از سوی هکرها شده است. شرکت تحقیقاتی Check Point که در زمینه امنیت شبکه و یافتن نقص‌های امنیتی کار می‌کند، گفته که اپ حفاظتی تلفن‌های شیائومی، ترافیک اینترنت این تلفن‌ها را نا‌امن نکرده است.

نقص امنیتی موجود در این برنامه، به هکرها اجازه می‌دهد تا با استفاده از حمله مرد میانی (MITM) اتصال وای‌فای قربانی را تحت کنترل خود قرار دهند. حمله MITM نوعی از حمله بوده که هکر ارتباط دو‌طرفه بین کاربر و مقصد نهایی در شبکه را مورد هدف قرار می‌دهد و با ارسال پیام‌ها و قطعه‌کدهای مخرب، این ارتباط دو‌طرفه را تخریب کرده و باعث به‌وجود آمدن یک نقص امنیتی در شبکه اینترنت تلفن همراه می‌شود.

وب‌سایت Check Point هم درباره این نقص امنیتی افزود: “کاملا قابل درک است که کاربران به برنامه‌های پیش‌فرض تلفن‌های خود اعتماد داشته باشند، مخصوصا وقتی که شرکت‌ها ادعا می‌کنند که این برنامه‌ها برای حفاظت از گوشی طراحی و توسعه داده شده‌اند. کشف این آسیب‌پذیری نگران‌کننده، سوالات بسیار زیادی را درباره اپ‌های حفاظتی تلفن‌های هوشمند مطرح می‌کند.”

مهاجمان با سوِاستفاده از این نقص، توانایی ارسال کدهای مخرب و حتی پوشش این کدها توسط ارایه بسته‌های بروزرسانی برای تلفن همراه را دارند.

توسعه‌دهندگان برنامه‌های امنیتی در اپ‌های خود از کیت‌های توسعه نرم‌افزاری (SDK) شخص ثالث استفاده می‌کنند و این امر نیز به ایجاد چنین نقص‌هایی کمک می‌کند.

هم‌چنین سه آنتی‌ویروس AVL، Avast و Tencent از این کیت‌ها استفاده می‌کنند که استفاده از این برنامه‌ها خطراتی نظیر اشتراک داده‌های شخصی کاربر به دست هکرها را به همراه دارد.

این بدان معنی است که استفاده از چندین SDK مختلف در برنامه‌های امنیتی، حریم شخصی و حفاظت از داده‌های کاربر را به خطر انداخته و این اطلاعات توسط فرد یا افرادی دیگر قابل دسترس خواهد بود.

Check Point در ادامه گفت: “اشکالات موجود در یک SDK فردی، یک مسئله مستقل و جزئی است. اما زمانی که چندین SDK در یک برنامه کاربردی قرار دارد، آن برنامه بیشترین احتمال آسیب‌پذیری و و ایجاد یک نقص امنیتی را دارد.”

البته پس از افشای این نقص، شیائومی یک بروزرسانی (پچ جدید) برای حل این آسیب‌پذیری منتشر کرده است.

منبع The Star
  

یه نظری بده!

آدرس ایمیل شما منتشر نخواهد شد.

از دیدگاه شما سپاسگزاریم