ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

Very satisfied Satisfied Neutral Dissatisfied Very dissatisfied
واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

گوگل آتنتیکیتور
نرم افزار و اپلیکیشن

باگ اپ تایید هویت دو مرحله‌ای گوگل اطلاعات میلیون‌ها کاربر را به خطر انداخته است

محققین شرکت امنیتی ThreatFabric باگی جدید در نر‌م‌افزار گوگل آتنتیکیتور پیدا کرده‌اند که به هکرها اجازه می‌دهد کد‌های تولید شده توسط این اپ را کپی کنند و وارد حساب‌های کاربری هدف خود شوند. گوگل آتنتیکیتور ...

کورش چایچی
کورش چایچی منتشر شده در ۱۹ اسفند ۱۳۹۸  |  ۲۰:۳۰

در دیجیاتو ثبت‌نام کنید

جهت بهره‌مندی و دسترسی به امکانات ویژه و بخش‌های مختلف در دیجیاتو عضو ویژه دیجیاتو شوید.

عضویت در دیجیاتو

محققین شرکت امنیتی ThreatFabric باگی جدید در نر‌م‌افزار گوگل آتنتیکیتور پیدا کرده‌اند که به هکرها اجازه می‌دهد کد‌های تولید شده توسط این اپ را کپی کنند و وارد حساب‌های کاربری هدف خود شوند.

گوگل آتنتیکیتور (Authenticator) برنامه‌ای است که به کاربران اجازه می‌دهد به جای استفاده از رمز عبور، از کد‌های یک بار مصرفی استفاده کنند که توسط این برنامه تولید می‌شود؛ به نوعی می‌توان کارایی آن را مشابه رمز پویا دانست. با این حال باگی که در این برنامه پیدا شده، به هکرها اجازه می‌دهد به نمایشگر گوشی دسترسی داشته باشند و از کد‌های تولید شده توسط این برنامه اسکرین شات بگیرند.

به نظر می‌رسد این باگ گریبان مایکروسافت را نیز گرفته باشند، چرا که همین باگ در برنامه مایکروسافت آتنتیکیتور نیز پیدا شده و با همین سطح از دسترسی به هکرها اجازه سرقت کدها را می‌دهد. البته هکرها برای دسترسی به کدهای تولید شده توسط این برنامه‌ها، ابتدا باید توسط برنامه تروجان خود وارد گوشی هوشمند کاربر شده و سپس به برنامه گوگل و مایکروسافت نفوذ کنند.

گوگل آتنتیکیتور

پس از آن می‌توانند با وارد شدن به این برنامه، رمز عبور یکبار مصرف برای حساب‌های کاربری ذخیره شده در آن را تولید کنند و با استفاده از باگ، از صفحه و کد نمایش داده شده اسکرین شات بگیرند. سپس به کمک این کد و اطلاعات کاربری، می‌توانند وارد اکانت شخص هدف شوند. البته اندروید قابلیتی را در اختیار توسعه‌دهندگان قرار داده که به کمک آن می‌توان از اسکرین شات گرفتن از برخی صفحات ممانعت کرد.

این قابلیت تحت عنوان «FLAG_SECURE» شناخته می‌شود. با این حال به نظر می‌رسد نه گوگل و نه مایکروسافت از چنین قابلیتی بهره نمی‌برند. در این گزارش آمده است که گوگل برای اولین بار در سال ۲۰۱۴ پچی برای برطرف کردن این مشکل گوگل آتنتیکیتور منتشر کرده بود، اما از سال ۲۰۱۷ دوباره این باگ در برنامه وجود داشته و تاکنون نیز اقدامی برای برطرف کردن آن انجام نشده است.

دیدگاه‌ها و نظرات خود را بنویسید
نظرات ثبت شده (7 مورد)
  • pop_0098

    این بچه هک
    اگر گوشی به اینترنت متصل نباشه
    اسکرین شات نمی تونه ارسال کنه به هکر

    کلا روش هکش خیلی ابتدایی

  • reza_zarchi

    پس بدون شک همین باگ در اپلیکیشن‌های ایرانی رمز پویا هم وجود داره. مگه پیاده سازی کاری که تلگرام توی سکرت چت انجام میده کار سختیه؟ ?

    • Unconventional_NyTro

      کاره سختی نیست این همه حرف از امنیت میزنن برای پیام رسان ها چه داخلی و چه خارجی فقط چند خط کد سادست برای اینکه مثلا توی پیام رسانی مثله تلگرام هیچ کس غیر از خودتون نتونه به پیام هاتون دسترسی داشته باشه
      این باگ ها عمدی هست چه فیس بوک چه گوگل و هر شرکت دیگه ای چون یک پیام رسان اونقدری بزرگ نیست که بگیم نزدیک به یک میلیون یا چند میلیون خط کد داره یا همین سیستم های تأیید هویت
      خودشون از این باگ ها خبر دارن عمدی می ذارن بعد یکی که پیداش کرد سریع برطرفش می کنن و کاربرا هم میگن دمش گرم
      تمام شرکت ها توی هر زمینه ای همینطورن و کارشونو بزرگ نمایی می کنن و سخت و پیچیده نشون میدن
      شرکت هایی مثله فیسبوک واسه اینکه خودش به داده ها دسترسی داشته باشه لزومی نداره داده هارو مستقیم توی دیتابیس ذخیره کنه یه رمزنگاری ساده از اطلاعات در برابر هکرها محافظت می کنه حتی اگر به تمام اطلاعات دیتابیس دسترسی پیدا کنن بازم اطلاعات لو نمیره
      کاری که نسخه های غیر اصل تلگرام انجام دادن ساخت یک کلید امنیتی که باعث میشد فقط صاحب برنامه بتونه پیغام هارو ببینه درحالی که پیام ها به سرورهای تلگرام می رفتن

      اینایی که گفتم مثال بودن و منظورم پیام رسان ها نیست

      سیاست هایی پشت این کاراست
      حتی هدف فقط جاسوسی نیست مثله فیسبوک مثله پیام رسان داخلی سروش
      فقط خدا می دونه چی تو سرشونه

      هدف برنامه نویس ها بخصوص اینکه یک شرکت چند میلیون دلاری با سرمایه زیاد داشته باشن اگر هدفشون جاسوسی باشه خیلی راحت می تونن جاسوسی کنن درحالی که کاربران احساس امنیت می کنن با اپلیکیشنشون

    • ali_komijani

      اپلیکشین های رمز پویا یکم امن‌تر هستند چون باید اول رمز بهشون بدی تا صادر بشن و از طرفی مشخصات کارت هم لازمه
      ولی اپ گوگل رو تا باز میکنی رمز ها رو نشونت میده

    • ali_komijani

      تلگرام داره از api گوگل استفاده میکنه
      این سهل انگاری گوگل هست وگرنه گوگل خودش صاحب اندروید هستش و هنه امکاناتش رو بلده

    • Reza Molodi

      قاعدتا گوگل خفن تر از تلگرامه

  • ali_komijani

    خیلی جالبه شما تو سکرت چت تلگرام نمیتونی اسکرین شات بگیری ولی اینجا میشه

مطالب پیشنهادی