.png "عصر ایران")
۳۰ ارديبهشت ۱۴۰۴
به روز شده در: ۳۰ ارديبهشت ۱۴۰۴ - ۲۱:۴۱
پنالتی که سردار آزمون در دیدار امشب شباب الاهلی مقابل دبا الحصن از دست داد (فیلم) اپلیکیشنهای اندروید چینی ناامن هستند؟
پژوهشی تازه در دانشگاه پرینستون نشان میدهد که اپلیکیشنهای اندروید چینی از نظر رمزنگاری بسیار ناامن هستند.
در یک پژوهش، محققان به بررسی تعداد ۱۶۹۹ اپلیکیشن برتر از فروشگاه گوگل پلی و همچنین ۸۱۷ برنامه از فروشگاه شیائومی پرداختهاند. نتایج به دست آمده نشان میدهند که در حدود ۴۷.۶ درصد از اپلیکیشنهای موجود در فروشگاه شیائومی برای رمزگذاری ارتباطات شبکهای خود به روشهای اختصاصی و ناامن تکیه میکنند. این عدد در مورد اپلیکیشنهای موجود در فروشگاه گوگل پلی تنها 3.51 درصد گزارش شده است.
این استفاده گسترده از پروتکلهای سفارشی و دارای نقص، به جای بهرهگیری از پروتکل امنیتی لایه انتقال استاندارد (TLS)، دادههای حساس کاربران را در معرض خطر قرار میدهد.
به گزارش خبرآنلاین به نقل از گجتنیوز، این گروه تحقیقاتی ابزاری خودکار به نام WireWatch را توسعه دادهاند که به جستجو در فروشگاههای برنامه میپردازد، با رابطهای کاربری برنامهها تعامل برقرار میکند، ترافیک شبکه را ضبط کرده و سپس آن را به منظور شناسایی رمزگذاریهای غیراستاندارد دستهبندی میکند.
تحلیلهای انجام شده توسط آنها نشان داد که اپلیکیشنهای موجود در فروشگاه شیائومی که اغلب برای بازار چین توسعه یافتهاند، از رمزگذاری اختصاصی با طراحی ضعیف استفاده میکنند. این برنامهها، که مجموعاً 130 میلیارد دانلود داشتهاند، شامل نامهای شناختهشدهای هستند که توسط کیتهای توسعه نرمافزاری (SDK) شرکتهایی نظیر علیبابا و تنست پشتیبانی میشوند.
آسیبپذیریها در این برنامهها بسیار آشکار بود. هشت مورد از 9 خانواده پروتکل رایج، از جمله Alibaba mPaaS و Tencent DNSPod، به دلیل استفاده از کلیدهای ثابت یا روشهای رمزنگاری معیوب مانند AES-CBC بدون استفاده از روش پدینگ مناسب، درخواستهای قابل رمزگشایی ارسال میکردند.
به عنوان نمونه، کیت توسعه نرمافزاری mPaaS متعلق به شرکت علیبابا که در برنامههایی مانند UC Browser مورد استفاده قرار میگیرد، دادههای مربوط به مرورگر را با یک کلید ثابت که در یک فایل تصویری ذخیره شده رمزگذاری میکند و این کلید به آسانی توسط مهاجمان قابل استخراج است.
این مسئله اطلاعات کاربران از قبیل تاریخچه مرور و فرادادههای دستگاه را در معرض خطر شنود شبکه یا حملات میانی قرار میدهد. علاوه بر این، 49.1 درصد از برنامههای موجود در فروشگاه شیائومی در اعتبارسنجی گواهینامههای TLS با شکست مواجه میشوند که این امر میزان خطر را افزایش میدهد.
پیامدهای این موضوع، به ویژه با در نظر گرفتن مقیاس وسیع آن، بسیار قابل توجه است. اپلیکیشنهای که بیش از یک میلیارد دانلود شدهاند، به طور قابلتوجهی تحت تأثیر این آسیبپذیریها قرار گرفتهاند.
پژوهشگران این مسائل را با فروشندگان این برنامهها در میان گذاشتهاند و برخی از آنها مانند iQIYI و تنست تاکنون اصلاحاتی را اعمال کردهاند. یکی از محققان گفته است: «ادامه استفاده از روشهای رمزنگاری سفارشی با طراحی ضعیف همچنان یک مشکل اساسی در میان محبوبترین اپلیکیشنهای تلفن همراه در سطح جهان به شمار میرود.»
نظرات کاربران
لینک کوتاه: کپی لینک
آثار تاریخی اصفهان در خطر تخریب و نمایندگان شهر به دنبال قانون حجاب!/ وضعیت نامطلوب میراث فرهنگی در اصفهان/ چرا وزارت میراث فرهنگی ساکت است؟ اتحادیه اروپا تحریمهای اقتصادی علیه سوریه را لغو کرد یحیی گلمحمدی در فولاد ماندنی شد بازگشت صنعت سیمان به مدار تولید: محدودیت ۹۰ درصدی برق برداشته شد ژابی آلونسو این هفته رسما سرمربی رئال مادرید میشود آزادی در صدر آسیا: استقلال و پرسپولیس رکورد پرتماشاگرترین بازیها را شکستند هشدار گرمازدگی در حج تمتع: توصیههای پزشکی برای زائران در مکه ۴۰ درجهای بازگشایی محور کندوان از فردا در این نقطه جهان «دریا» واقعا شکافته می شود؛ آن هم سالی دوبار! (+عکس) ادعای وزیر خارجه آمریکا: ایرانیان غنیسازی را غرور ملی میدانند سر در مجلس شورای ملی در اوایل دوره پهلوی (عکس) رئیس سازمان اطلاعات ترکیه در دمشق: دیدار با جولانی و گفتوگو با مقامات ارشد سوری ولایتی: تناقضگویی مقامات آمریکایی، بیسابقه در تاریخ دیپلماسی جهان افزایش شدید قیمت دلار امروز 30 اردیبهشت در بازار آزاد راز مادهای سمی در ویپ: آیا میدانید چه چیزی ریههایتان را تهدید میکند؟
اخبار و تحلیل های ترکیه