امنیت

امینت

تلفن همراه

September 5, 2014
21:31 جمعه، 14ام شهریورماه 1393
کد خبر: 64117

احتمال موفقیت 92 درصدی هک جی‌میل روی گوشی‌های اندرویدی!

تیمی از محققان، متشکل از استادیاری در دانشگاه کالیفرنیا (Riverside Bourns College of Engineering) مشکلی را در سیستم‌های عامل اندروید، ویندوز و iOS شناسایی کردند که ممکن است از آن برای استخراج اطلاعات کاربران ناآگاه استفاده شود. آنها این هک را در گوشی‌های اندرویدی انجام دادند.
 
به گزارش آژانس خبری صنعت ارتباطات (سینا)، محققان این روش را تست کردند و پی بردند در شش اپلیکیشن مورد آزمایش، 82 الی 92 درصد احتمال موفقیت وجود دارد.
 
اپلیکیشن‌هایی که به سادگی هک شدند Gmail، CHASE Bank و H&R Block بودند. در آمازون این روش 48 درصد موفقیت داشته و تنها اپلیکیشنی بود که به سختی هک آن ممکن بود.
مقاله “وارد شدن به اپلیکیشن بدون دیدن آن: رابط کاربری اندروید و مقاومت آن در برابر هک” در 22 آگوست روز جمعه در مجله 23ام USENIX Security Symposium در سن دیاگو انتشار یافت.
نویسنده‌های این مقاله، ژیون کوآن از وزارت مهندسی و علوم کامپیوتری در Riverside، مورلی مائو، استادیار در دانشگاه میشیگان و کی آلفرد چیم دانشجوی PH.D بودند.
این محققان بر این باورند علت نتیجه‌بخش بودن این روش به اشتراک‌گذاری یک مولفه کلیدی در سیستم‌های اندرویدی است. البته آنها این برنامه را بر سیستم‌های دیگر پیاده نکرده‌اند.
از آنجایی‌که محققان فکر می‌کردند خطر امنیتی بسیاری در اپلیکیشن‌های تولید شده، وجود دارد این تحقیق را انجام دادند. وقتی که کاربری چند اپلیکیشن را دانلود می‌کند همگی از یک ساختار یا سیستم عامل استفاده می‌کنند.
کوآن گفته است: همیشه فرض بر این بود که این اپلیکیشن‌ها نمی‌توانند به آسانی بر هم تاثیر بگذارند. ما نشان دادیم که این فرض صحیح نبوده و یک اپلیکیشن می‌تواند به شکل قابل توجهی بر اپلیکیشن دیگر تاثیر گذاشته و پیامدهایی خطرناکی برای کاربر داشته باشد.
برای اینکار کاربر را با دانلود یک اپلیکیشنِ به نظر بی‌خطر ولی در اصل تقلبی مثلا برای تعویض پس زمینه گوشی دعوت می‌کنند. وقتی که اپلیکیشن نصب شد محققان می‌توانند یک کانال عمومی جدیدا کشف شده یا همان آمار حافظه مشترک فرایند را بررسی کنند که بدون هیچ مشکلی قابل دسترسی است. حافظه مشترک یک قابلیت متداول در سیستم عامل است که فرایندها را قادر می‎سازد تا داده‌هایشان را به اشتراک بگذارند.
محققان تغییرات انجام گرفته در حافظه مشترک را پایش کردند و قادر بودند که تغییرات را با چیزی به نام “رویداد انتقالی فعالیت” به یکدیگر مرتبط سازند که شامل چیز‌هایی مثل زمان وارد شدن به جی‌میل یا H&R Block یا هنگام گرفتن عکس برای انتشار آن به صورت آنلاین و بدون دسترسی بهCHASE Bank فیزیکی است. افزون بر چند کانال فرعی دیگر این محققین نشان دادند که می‌توان فعالیتی که فرد قربانی در اپلیکیشن دارد را شناسایی کرد.
دو اصل برای این حمله وجود دارد. این حمله باید دقیقا در زمان ورود کاربر به اپلیکیشن یا گرفتن عکس صورت بگیرد. دوم اینکه حمله باید کاملا نامحسوس باشد. محققین با زمان بندی دقیق توانستند این کار را انجام دهند.
کوآن گفته است: به علت این نوع طراحی، هک کردن و دزدی از اندرویدها آسان است ولی باید اینکار را در زمان درست انجام دهید تا کاربر متوجه آن نشود. ما همین کار را انجام دادیم و به همین خاطر حمله ما منحصر به فرد است.
در اینجا ما لیستی از هفت اپلیکیشن که محققین به آن حمله کردند و درصد موفقیت‌شان داریم: Gmail (92 درصد)، H&R (92 درصد)، Newegg (86 درصد)، WebMD (85 درصد)، CHASE Bank (83 درصد)، Hotels.com (83 درصد) و Amazon (48 درصد)
هک کردن آمازون از همه دشوارتر بود چون این اپلیکیشن چندین فعالیت را باهم انجام می دهد و به همین علت حدس اینکه کدام فعالیت در حال انجام است دشوارتر می‌شود.
ما از کوآن پرسیدیم که یک کاربر باید برای پیشگیری از این مساله باید چه کاری انجام دهد، او در پاسخ گفت: اپلیکشین‌های غیر معتبر نصب نکنید. همچنین در آینده باید طراحی دقیقتر بر عملکرد و امنیت سیستم‌های عامل گوشی انجام شود.” برای نمونه باید کانال‎های فرعی حذف شوند و یا امنیتشان افزایش یابد.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.