باگ امنیتی مرورگر پیشفرض اندروید، خطرناک برای حساب های فیسبوک

یک باگ امنیتی جدی در مرورگر پیشفرض سیستم عامل اندروید وجود دارد که به حمله کننده های آگاه اجازه می دهد با کمک آن، کنترل حساب کاربری فیسبوک قربانیان را به دست گیرند. این ایراد ...

نوشته شده توسط امیر صادقپور تاریخ انتشار: ۸ دی ۱۳۹۳ | ۱۹:۰۰

در دیجیاتو ثبت‌نام کنید

جهت بهره‌مندی و دسترسی به امکانات ویژه و بخش‌های مختلف در دیجیاتو عضو ویژه دیجیاتو شوید.

عضویت در دیجیاتو

ویدئوی مرتبط

تکنولوژی جعبه گشایی و نگاه نزدیک به وان پلاس ۳ [تماشا کنید]

یک باگ امنیتی جدی در مرورگر پیشفرض سیستم عامل اندروید وجود دارد که به حمله کننده های آگاه اجازه می دهد با کمک آن، کنترل حساب کاربری فیسبوک قربانیان را به دست گیرند.

این ایراد که در Same Origin Policy یا SOP مرورگر پیشفرض اندروید وجود دارد، اولین بار در سپتامبر ۲۰۱۴ توسط یک محقق مستقل حوزه امنیت به نام Rafay Baloch کشف شد. او متوجه شد که در این مرورگر که بر روی اندروید های نسخه ۴٫۲٫۱ به پایین وجود دارد، باگی امنیتی در SOP اجازه می دهد سایت ها اطلاعات مورد استفاده سایر وبسایت ها را جمع آوری کنند.

در ادامه با دیجیاتو باشید.

متخصصان امنیتی در Trend micro در همکاری با فیسبوک، موارد متعددی از حملات اینترنتی به حساب های کاربری این شبکه اجتماعی کشف شد که دقیقا از طریق همین باگ امنیتی در مرورگر پیشفرض اندروید به انجام رسیده بودند.

SOP یا Same Origin Policy از اصول امنیت مرورگر است و برای پیشگیری از دسترسی کدها به اطلاعات خاص در صفحات وب ایجاد شده است. با کمک آن کدهای صفحات مختلف وب بدون اجازه کاربر و احراز هویت او نمی توانند به اطلاعات ذخیره شده در مرورگر دسترسی داشته باشند.

اما متاسفانه SOP در نسخه های قدیمی اندروید حاوی باگی است که به حمله کننده ها اجازه می دهد با کمک کدهای جاوااسکریپت به اطلاعات مرورگر قربانی دسترسی داشته باشند.

در این حمله خاص لینکی که در برخی صفحات فیسبوکی وجود دارد کاربران را به سمت سایتی مشکوک هدایت می کند. Simon Huang یک مهندس امنیتی موبایل در Trend micro در این باره در یک پست وبلاگی نوشته:

«صفحه مربوطه حاوی کدهایی نامعتبر است که یک آدرس خاص فیسبوک را در فریمی به سمت کاربر می فرستد. کاربر اما با بازکردن لینک مربوطه تنها یک صفحه سفید می بیند که در واقع چیزی به جز یک تگ div در آن نیست. فریم مذکور نیز تنها یک پیکسل اندازه دارد و کاربر حتی متوجه آن نمی شود.»

کد جاوااسکریپت به حمله کننده اجازه می دهد که اعمال زیادی را درخواست دهد و از این طریق خود را صاحب اصلی حساب کاربری فیسبوک قربانی جا بزند. بر اساس گفته یک محقق هکرها از این طریق تقریبا امکان انجام هر کاری را در حساب قربانی دارند. برخی از آنها عبارتند از: اضافه کردن دوستان جدید، لایک کردن و دنبال کردن صفحات فیسبوک، پیگیری و تغییر اشتراک ها، لاگین در سرویس ها و اپلیکیشن ها از طریق فیسبوک و دسترسی به تصویر پروفایل، لیست دوستان، تاریخ تولد و سایر موارد، دزدی کدهای تولید شده فیسبوک برای دسترسی به سایر اپ ها و جمع آوری اطلاعات آماری کاربر.

تمامی ابزارهای اندرویدی زیر اندروید ۴٫۴ کیت کت نسبت به این باگ SOP آسیب پذیر هستند. البته گوگل در ماه سپتامبر در قالب یک پچ امنیتی این باگ را مرتفع کرده اما کماکان میلیون ها ابزار اندرویدی نسبت به آن آسیب پذیرند. عدم ارسال به روز رسانی مربوطه به ابزارهای تولید شده سایر شرکت ها و البته عدم پشتیبانی ابزار مربوطه از آپدیت های بیشتر، دلیل این مساله است.

نکته مثبت اما اینجاست که باگ SOP تنها در مرورگر پیشفرض این ابزارها وجود دارد. هر چند که امکان پاکسازی این مرورگر وجود ندارد اما می توانید آن را غیرفعال کنید. برای این کار از طریق بخش تنظیمات ابزار اندرویدی خود به Apps و سپس تب All مراجعه کنید و در لیست مربوطه مرورگر پیشفرض را بیابید. سپس بر روی آن تپ کرده و در صفحه بعد بر روی کلید DISABLE تپ کنید. بدین ترتیب مرورگر مربوطه غیرفعال خواهد شد.

با توجه به وجود این باگ، جهت مرور امن وب می توانید از مرورگرهای گوگل کروم، دلفین، فایرفاکس یا مرورگر سبک CM Browser بر روی ابزار اندرویدی خود استفاده کنید.

thehackernews

اندروید اینترنت بازار موبایل فیسبوک مرورگر

اشتراک گذاری:

کپی لینک

مقالات و اخبار مرتبط

دیدگاه‌ها و نظرات خود را بنویسید

برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.

مجموع نظرات ثبت شده (13 مورد)

reza_zarchi | ۹ دی ۱۳۹۳

شما برای رهایی از این مشکل امنیتی استفاده نکردن از مرورگر پیش فرض اندروید رو پیشنهاد کردید. فقط یه سوال... تکلیف web view چی میشه؟ اونو که توی نرم افزارهای مختلف مجبور به استفاده ازش هستیم.

0
mehrdad_garebaghi | ۸ دی ۱۳۹۳

بابا همه چیز باگ داره اینو همه متخصصای زمینه آی تی و حتی خوانندگان اخبار دنیای آی تی میدونن

حداقل خوبی اندروید اینه که این نرم افزار باگ دار رو خودت می تونی غیرفعال کنی و یه چیز دیگه به جاش استفاده کنی مثل بقیه پلتفرمها کاربرا منتظر آپدیت نمی مونن که باز داستان بروز باگهای دیگر ....

0
ارشیا | ۸ دی ۱۳۹۳

ما که هنوز منتظر سونی ایم نکسوسیا کوفتتون نشهههههههه

0
iPooya | ۸ دی ۱۳۹۳

ای بابا خسته شدیم !
هی باگ و هک!

0
mohammadmj | ۸ دی ۱۳۹۳

اندروید تو امنیت واقعا افتضاحه ................................................

0

LG G3 | ۸ دی ۱۳۹۳

دوست عزیزم اینجور باگ ها رو آی او اس هم کم نداره که هر چند وقت یه بار خبرش میاد, مث باگ آی مسیج و ....
اتفاقا پارسال شرکت سیمانتک که فعال در حوزه ی امنیت هستش, گفته بود که حفره های امنیتی آی او اس بسیار بیشتر از اندروید هستش و فقط دلیل علاقه ی بیشتر هکرها به اندروید کاربرهای خیلی زیادش هستش و دلیل به امن تر بودن ای او اس نیست!!

0

Kaboos31 | ۸ دی ۱۳۹۳

شما ميدوني باگ آيمسيج چي بوده؟
اين بوده كه بعد از وارد كردن شماره تلفن بهش (تا بتونن با شماره تلفنت اپل آيديتو بدونن) نميشد شماره رو حذف كرد
بنابراين اگه گوشيتون رو با يه اندرويدي يا ويندوزي عوض ميكردين واستون اس ام اس از اون شماره نميومد

شما باز هم اون خبر رو بخونيد
نوشته آيفون هاي باز شده از open ssh يعني طرف آيفونش رو جيلبرك كرده و توييك open ssh رونصب كرده و رمز روت رو عوض نكرده

تهديد هاي امنيتي امسال هم ٩٤ درصد اندرويد
٣درصد آي او اس (براي جيلبرك شده ها يا كساني كه از استور هاي چيني مجاني دانلود كردن)
١درصد وينفون
١ درصد ch os
1 درصد بلك بري

0

منصور | ۸ دی ۱۳۹۳

کسی اصلا متوجه اسم این محقق شد؟
اسم ایشون رفیع بلوچ که احتمالا ایرانی یا پاکستانی هست!
اگر این احتمال رو آوردم دلیلش اینه که نمی‌دونم توی کدوم بلوچستان به دنیا اومدن هرچند اصالت اغلب بلوچ‌ها به منطقه مکران (بلوچستان ایران) بر می‌گرده
ایشون سابقه خوبی توی این زمینه داره و پیش از این هم از سوی paypal یه جایزه ۱۰۰۰ دلاری بخاطر گزارش ضعف امنیتی توی سیستم بود، دریافت کرد.

0
آریا | ۸ دی ۱۳۹۳

ما که مرورگر پیشفرضمون گوگل کرومه :)
اندرویدمون هم 5.0.1 :)

0

دادا | ۸ دی ۱۳۹۳

پرچم بالاست!!!

0

CafeAndroid | ۸ دی ۱۳۹۳

بعدش وقتی میگن اندروید امن نیست یه سری ها تب میکنن،بابا از بعضی جهات واقعا نا امنه،قبول کنید...

0

منصور | ۸ دی ۱۳۹۳

من خودم برای گوشی و تبلت از ios استفاده می‌کنم. چون با توجه به فاکتورهای مورد نظرم، گزینه معقول‌تر و بهتریه ولی دیوایس اندرویدی هم تا همین یک ماه پیش داشتم و مشکلی هم از لحاظ امنیتی برام پیش نیومد طی این مدت هرچند مشکلاتی باهاش داشتم.
اما در مورد این باگ، فکر نمی‌کنم چیز خیلی عجیبی باشه. همه سیستم عامل‌ها و همه نرم‌افزارها باگ دارند و اگر کسی ادعا کرد سیستم عامل/نرم‌افزار یا حتی سخت‌افزاری ساخته که هیچ باگی نداره من توصیه می‌کنم به خود اون آدم هم شک کنید.
اگر iOS یا ویندوز یا بلک‌بری و حتی مک، لینوکس، BSD و یونیکس، هرکدوم باگ نداشتند، مرتب براشون حتی توی نسخه‌های LTS آپدیت و پچ‌فیکس ارایه نمی‌شد.
باگ‌ها و ضعف‌های امنیتی جزء جدایی‌ناپذیر از نرم‌افزارها هستند.
این ضعف امنیتی هم به خود اندروید بر نمی‌گرده، بلکه به یک مرورگر که گوگل روی اندروید بصورت پیش‌فرض قرار داده منتصب هست.
اگر این مشکل مال خود اندروید بود، مطمئن باشید که این ضعف فقط به مرورگر خلاصه نمی‌شد و توی نرم‌افزارهای دیگه هم خودشو نمایش میداد.

0

CafeAndroid | ۸ دی ۱۳۹۳

دوست عزیز حرفت کاملا درسته،همه ی سیستم عامل ها باگ دارن و اگه این باگ ها و ضعف های امنیتی نبود،کمپانی شاید انگیزه ی کمتری واسه ی ارائه آپدیت داشتن اما اینو قبول کنیم که ما افراد خیلی مهمی نیستیم(از لحاظ دیپلماتیک میگم)و به همین دلیلی شاید توی طول زندگیمون کسی سعی نکنه ما رو هک کنه و حتی اگه کسی بخواد این کار رو بکنه یه آدم حرفه ای نباشه،اما نکته اینجاست که اگه یه دیپلمات مهم،یه دیوایس اندرویدی داشته باشه،خیلی بیشتر اطلاعاتش در خطره تا یه دیوایس مبتنی بر iOS ،ویندوز فون،یا سیستم عامل بلک بری داشته باشه
البته این نظر منه و شاید کارشناسی نشده و اشتباه باشه

0

نمایش سایر نظرات و دیدگاه‌ها

مطالب پیشنهادی