باگ اپ تایید هویت دو مرحلهای گوگل اطلاعات میلیونها کاربر را به خطر انداخته است
محققین شرکت امنیتی ThreatFabric باگی جدید در نرمافزار گوگل آتنتیکیتور پیدا کردهاند که به هکرها اجازه میدهد کدهای تولید شده توسط این اپ را کپی کنند و وارد حسابهای کاربری هدف خود شوند. گوگل آتنتیکیتور ...
در دیجیاتو ثبتنام کنید
جهت بهرهمندی و دسترسی به امکانات ویژه و بخشهای مختلف در دیجیاتو عضو ویژه دیجیاتو شوید.
عضویت در دیجیاتوتازههای تکنولوژی
ویدئوی مرتبط
محققین شرکت امنیتی ThreatFabric باگی جدید در نرمافزار گوگل آتنتیکیتور پیدا کردهاند که به هکرها اجازه میدهد کدهای تولید شده توسط این اپ را کپی کنند و وارد حسابهای کاربری هدف خود شوند.
گوگل آتنتیکیتور (Authenticator) برنامهای است که به کاربران اجازه میدهد به جای استفاده از رمز عبور، از کدهای یک بار مصرفی استفاده کنند که توسط این برنامه تولید میشود؛ به نوعی میتوان کارایی آن را مشابه رمز پویا دانست. با این حال باگی که در این برنامه پیدا شده، به هکرها اجازه میدهد به نمایشگر گوشی دسترسی داشته باشند و از کدهای تولید شده توسط این برنامه اسکرین شات بگیرند.
به نظر میرسد این باگ گریبان مایکروسافت را نیز گرفته باشند، چرا که همین باگ در برنامه مایکروسافت آتنتیکیتور نیز پیدا شده و با همین سطح از دسترسی به هکرها اجازه سرقت کدها را میدهد. البته هکرها برای دسترسی به کدهای تولید شده توسط این برنامهها، ابتدا باید توسط برنامه تروجان خود وارد گوشی هوشمند کاربر شده و سپس به برنامه گوگل و مایکروسافت نفوذ کنند.
پس از آن میتوانند با وارد شدن به این برنامه، رمز عبور یکبار مصرف برای حسابهای کاربری ذخیره شده در آن را تولید کنند و با استفاده از باگ، از صفحه و کد نمایش داده شده اسکرین شات بگیرند. سپس به کمک این کد و اطلاعات کاربری، میتوانند وارد اکانت شخص هدف شوند. البته اندروید قابلیتی را در اختیار توسعهدهندگان قرار داده که به کمک آن میتوان از اسکرین شات گرفتن از برخی صفحات ممانعت کرد.
این قابلیت تحت عنوان «FLAG_SECURE» شناخته میشود. با این حال به نظر میرسد نه گوگل و نه مایکروسافت از چنین قابلیتی بهره نمیبرند. در این گزارش آمده است که گوگل برای اولین بار در سال ۲۰۱۴ پچی برای برطرف کردن این مشکل گوگل آتنتیکیتور منتشر کرده بود، اما از سال ۲۰۱۷ دوباره این باگ در برنامه وجود داشته و تاکنون نیز اقدامی برای برطرف کردن آن انجام نشده است.
دیدگاهها و نظرات خود را بنویسید
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.
این بچه هک
اگر گوشی به اینترنت متصل نباشه
اسکرین شات نمی تونه ارسال کنه به هکر
کلا روش هکش خیلی ابتدایی
پس بدون شک همین باگ در اپلیکیشنهای ایرانی رمز پویا هم وجود داره. مگه پیاده سازی کاری که تلگرام توی سکرت چت انجام میده کار سختیه؟ ?
قاعدتا گوگل خفن تر از تلگرامه
تلگرام داره از api گوگل استفاده میکنه
این سهل انگاری گوگل هست وگرنه گوگل خودش صاحب اندروید هستش و هنه امکاناتش رو بلده
اپلیکشین های رمز پویا یکم امنتر هستند چون باید اول رمز بهشون بدی تا صادر بشن و از طرفی مشخصات کارت هم لازمه
ولی اپ گوگل رو تا باز میکنی رمز ها رو نشونت میده
کاره سختی نیست این همه حرف از امنیت میزنن برای پیام رسان ها چه داخلی و چه خارجی فقط چند خط کد سادست برای اینکه مثلا توی پیام رسانی مثله تلگرام هیچ کس غیر از خودتون نتونه به پیام هاتون دسترسی داشته باشه
این باگ ها عمدی هست چه فیس بوک چه گوگل و هر شرکت دیگه ای چون یک پیام رسان اونقدری بزرگ نیست که بگیم نزدیک به یک میلیون یا چند میلیون خط کد داره یا همین سیستم های تأیید هویت
خودشون از این باگ ها خبر دارن عمدی می ذارن بعد یکی که پیداش کرد سریع برطرفش می کنن و کاربرا هم میگن دمش گرم
تمام شرکت ها توی هر زمینه ای همینطورن و کارشونو بزرگ نمایی می کنن و سخت و پیچیده نشون میدن
شرکت هایی مثله فیسبوک واسه اینکه خودش به داده ها دسترسی داشته باشه لزومی نداره داده هارو مستقیم توی دیتابیس ذخیره کنه یه رمزنگاری ساده از اطلاعات در برابر هکرها محافظت می کنه حتی اگر به تمام اطلاعات دیتابیس دسترسی پیدا کنن بازم اطلاعات لو نمیره
کاری که نسخه های غیر اصل تلگرام انجام دادن ساخت یک کلید امنیتی که باعث میشد فقط صاحب برنامه بتونه پیغام هارو ببینه درحالی که پیام ها به سرورهای تلگرام می رفتن
اینایی که گفتم مثال بودن و منظورم پیام رسان ها نیست
سیاست هایی پشت این کاراست
حتی هدف فقط جاسوسی نیست مثله فیسبوک مثله پیام رسان داخلی سروش
فقط خدا می دونه چی تو سرشونه
هدف برنامه نویس ها بخصوص اینکه یک شرکت چند میلیون دلاری با سرمایه زیاد داشته باشن اگر هدفشون جاسوسی باشه خیلی راحت می تونن جاسوسی کنن درحالی که کاربران احساس امنیت می کنن با اپلیکیشنشون
خیلی جالبه شما تو سکرت چت تلگرام نمیتونی اسکرین شات بگیری ولی اینجا میشه