اپلیکیشن

تلفن همراه

February 28, 2017
13:23 سه شنبه، 10ام اسفندماه 1395
کد خبر: 82595

برنامه‌های آیفون هم ویروسی می‌شود

برنامه‌های محبوب اپل از لحاظ امنیتی بررسی شده و مشخص شده است که مستعد حملاتی هستند و تاکنون ۱۸ میلیون دانلود از این نرم‌افزارهای آسیب‌پذیر صورت گرفته است.
 
امروزه نرم‌افزار تحت موبایل در دنیا بسیار رشد کرده و به جزء جداناپذیری از زندگی ما تبدیل شده است، اما نبود امنیت در این اپلیکیشن‌ها مانند سرطان در حال رشد است.
 
بسیاری از این نرم‌افزارها از TLS (امنیت لایه انتقال) استفاده نمی‌کنند یا فعالیت آن‌ها در حالت روشن نیز قابل رهگیری است. اسکن کد در اپ‌استور اپل به متخصصان امنیتی این اجازه را می‌دهد تا اطلاعات بیشتری در مورد امنیت نرم‌افزارها جمع‌آوری کنند.
 
در گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)، به بررسی ۷۶ اپلیکیشین محبوب iOS  در اپ‌استور اپل پرداخته شده که مستعد حملات MITM (مرد میانی) هستند. در مجموع تا کنون بیش از ۱۸ میلیون دانلود از این نرم‌افزارهای آسیب‌پذیر صورت گرفته است.
 
درصد ریسک این آسیب‌پذیری برای ۷۶ نرم‌افزار بررسی‌شده، به صورت ۳۳ نرم‌افزار با درجه ریسک پایین، ۲۴  نرم‌افزار با درجه ریسک متوسط و ۱۹ نرم‌افزار با درجه بالا است.
 
برنامه‌های با درجه خطر پایین و بخش آسیب‌پذیر
 
برنامه ooVoo در قسمت ورود شامل نام کاربری و رمز عبور، برنامه VivaVideo در بخش نسخه سیستم عامل، مدل دستگاه و بخش جست‌وجو، برنامه Volify در بخش  نسخه سیستم عامل، مدل دستگاه، نام نقطه اتصال به شبکه و اطلاعات باتری، برنامه Epic در بخش کلیدهای رمزنگاری، برنامه Mico در بخش آدرس ایمیل و نسخه سیستم عامل، برنامه Cash app در بخش نسخه سیستم عامل  و نام نقطه اتصال شبکه، برنامه YeeCall Messenger در بخش آدرس ایمیل و شماره تلفن، برنامه Insta Repost در بخش اطلاعات تجزیه و تحلیلی، برنامه Cheetah Browser در بخش نسخه سیستم عامل، مدل دستگاه، موقعیت مکانی، کلید تکمیل خودکار، برنامه VPN Free در بخش لیست سرورها، اطلاعات سرورهایVPN و برنامهMusic Tube در بخش لیست ویدئوها و بخش جست‌وجو برنامه‌های با درجه خطر پایین هستند.
 
برنامه‌ها با درجه خطر متوسط و بالا
 
تعداد زیادی از برنامه‌های که ریسک متوسط و بالا دارند متعلق به بانک‌ها، مراکز پزشکی و توسعه‌دهندگان برنامه‌های کاربردی حساس هستند. در این گزارش با توجه به اهمیت این اپلیکیشن‌ها و جلوگیری از عدم سوء استفاده از آن‌ها، آسیب‌پذیری‌های موجود را ارسال کرده است تا از این طریق توسعه‌دهندگان به رفع آن‌ها بپردازند. از جمله این پروانه‌ها می‌توان به ShoreTel Mobility Client، ThreatMetrix SDK ، Experian، myFICO، Kaspersky Safe Browser و PayPal اشاره کرد.
 
روش حل مشکل
 
این دسته از آسیب‌پذیری‌ها در گروه پیچیده قرار می‌گیرند و تنها توسعه‌دهندگان قادر به حل کامل آنها هستند و هیچ کاری از کاربر ساخته نیست. ضعف امنیتی بررسی شده مربوط به کدهای شبکه در برنامه و پیکربندی اشتباه آن‌ها است. با توجه به ساختار کلی، سیستم App Transport Security در سیستم عامل iOS ارتباط را به عنوان یک اتصال معتبر TLS می‌بیند و به نرم‌افزار اجازه می‌دهد که از گواهینامه تایید اعتبار آن استفاده کند.
 
هیچ راه‌حلی برای این مشکل از سمت اپل وجود ندارد زیرا اگر در نرم‌افزار از این حالت استفاده نکنند به خودی خود باعث کاهش امنیت می‌شوند. عدم استفاده از یک گواهی PKI امن و تاییدشده در شبکه اینترنت مشکل‌ساز خواهد بود و برنامه قابلیت ارتباط با دیگر سرویس‌دهنده‌ها را از دست می‌دهد.
 
کاهش خطر برای کاربران، شرکت‌ها، سازمان‌ها و توسعه‌دهندگان
 
کاربرانی که از نرم‌افزارهای فوق استفاده می‌کنند باید توجه داشته باشند، آسیب‌پذیری ذکرشده معمولا روی شبکه‌های Wi-Fi عمومی و رایگان انجام می‌شود. به همین دلیل اگر در مکان‌های عمومی مجبور به استفاده از نرم‌افزارهای مهم مانند اپلیکیشن بانک هستید Wi-Fi را خاموش کنید. در صورت نیاز به استفاده از اینترنت نیز از شبکه تلفن همراه استفاده کنید.
 
در صورتی که به یک سازمان یا شرکت اپلیکیشن خاصی را پیشنهاد می‌کنید اول با استفاده از سرویس‌هایی مانند verify.ly آسیب‌پذیر بودن آن را بررسی کنید. این عمل به منظور جلوگیری از بروز مشکلات در آینده بسیار کارساز است.
 
توسعه‌دهندگان نیز هنگام نوشتن کدهای شبکه در برنامه باید مراقب رفتار نرم‌افزار خود باشند. بسیاری از آسیب‌پذیری‌ها به علت عدم آشنایی کامل توسعه‌دهندگان با کد و کپی کردن آن از وب است.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.