تماشا کنید: محققان راهی برای هک اطلاعات شخصی کاربران تلفن‌های هوشمند با ۹۲٪ موفقیت پیدا کردند

محققان کالج مهندسی بورنز ریورساید کالیفرنیا و دانشگاه میشیگان نقطه‌ی ضعفی در هر سه سیستم عامل اندروید، iOS و ویندوزفون پیدا کردند که به وسیله‌ی آن می‌توان به اطلاعات شخصی کاربر دسترسی پیدا کرد.

با وجود این که بررسی بر روی تلفن اندرویدی انجام شده اما به علت مکانیزم یکسان دسترسی به حافظه‌ی داخلی، این آسیب پذیری در هر سه سیستم عامل مطرح تلفن‌های هوشمند وجود دارد.

پروفسور ژیون کیان استاد کالج ریورساید در این باره می‌گوید:

همیشه فرض بر این بوده که برنامه‌ها نمی‌توانند به سادگی با هم تداخل داشته باشند، اما تحقیقات ما نشان می‌دهد این فرض درست نیست و یک برنامه‌ می‌تواند به اطلاعات برنامه‌ی دیگر دسترسی پیدا کرده و از آن جهت مقاصد مخرب استفاده کند.

روش کار به این صورت است که ابتدا کاربر برنامه‌ای مخرب اما به ظاهر بی ضرر مثل یک تصویر پس زمینه را دانلود می‌کند، پس از آن مهاجم با استفاده کدهای مخفی موجود در آن برنامه به داده‌های دائمی حافظه‌ی مشترک بین برنامه‌ها که برای تمام سطوح قابل دسترسی است، دست پیدا می‌کند سپس تغییرات صورت گرفته در این داده‌ها را تحت نظر می‌گیرد و این تغییرات را به فعالیت‌های مختلف صورت گرفته مرتبط می‌کند مثلا کدام داده‌ها به جیمیل مربوط می‌شود و یا اطلاعات حساب بانکی فرد کدام است. حتی تیم تحقیقاتی با استفاده از چند روش دیگر توانست تمام فعالیت‌های کاربر را در زمان واقعی در نظر بگیرد.

دانلود ویدیو

برای انجام یک حمله‌ی موفق دو عامل باید در نظر گرفته شود. ابتدا این که حمله باید دقیقا در لحظه‌ای که کاربر فعالیت مورد نظر را انجام می‌دهد انجام شود و دوم این که کاربر باید بی‌خبر از تمام این اتفاقات بماند.

دکتر آلفرد چن از دانشگاه میشیگان می گوید:

ما می‌دانیم کاربر چه زمانی از اپلیکیشن بانک‌داری خود استفاده می‌کند، در زمان ورود وی به برنامه، ما صفحه‌ای مشابه به صفحه‌ی ورود نام کاربری و پسورد بانک را به برنامه تزریق می‌کنیم سپس اطلاعات حساب بانکی را انتقال می‌دهیم.

از میان هفت برنامه‌ای که بررسی شدند موفقیت این روش۹۲ درصد برای H&R Blocks، میزان ۸۲ درصد برای webMD، تقریبا ۹۲٪ برای جیمیل و ۸۳ درصد برای Chase Bank بوده است. آمازون نفوذناپذیرترین اپلیکیشن با ۴۸ درصد موفقیت بود، زیرا این برنامه فقط به یک فعالیت اجازه‌ی ارتباط به فعالیت دیگر را می‌دهد و به سختی می‌توان فعالیت بعدی کاربر را حدس زد.

این تیم تحقیقاتی پیشنهاد می‌کند کاربران برنامه‌هایی را که از منشا آن‌ها مطمئن نیستند نصب نکنند و همچنین به درخواست‌های دسترسی به اطلاعات شخصی که برنامه‌ها تقاضا می‌کنند، توجه کنند. نتایج بررسی از این گزارش قابل دسترسی است.

از سراسر وب

  دیدگاه
کاراکتر باقی مانده
تبلیغات

بیشتر بخوانید