تبلیغات
تازه های تکنولوژی دنیای دیجیتال - عدم شناسایی پروتکل SSL در اپلیکیشن به‌روز رسانی نرم‌افزاری LG
 
تازه های تکنولوژی دنیای دیجیتال
درباره وبلاگ



مدیر وبلاگ : Ali Reza
نویسندگان
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
ایتنا - وجود یک آسیب‌پذیری در بسیاری از گوشی‌های LG به مهاجمان امکان می‌دهد فایل‌های بدافزاری دلخواه خود را جایگزین فایل‌های APK کنند.

به گزارش ایتنا از روابط عمومی شرکت ایدکو(توزیع کننده محصولات کسپرسکی در ایران)؛ وجود یک آسیب‌پذیری در بسیاری از گوشی‌های LG به مهاجمان امکان می‌دهد فایل‌های بدافزاری دلخواه خود را جایگزین فایل‌های APK کنند.
اما مشکل در شرایط و ضوابط نصب نرم‌افزاری LG نهفته است. غول کره‌ای مانند اغلب سازندگان مطرح اسمارت‌فون اپلیکیشن‌های ویژه خود را روی گوشی‌هایش نصب می‌کند؛ اپلیکیشن‌های منحصر به فرد گوشی‌هایی LG که در Play Store گوگل پیدا نمی‌شود.

این اپلیکیشن‌های از پیش نصب شده برای به‌روز رسانی به سرورهای LG متصل می‌شوند اما هر کدام ساختار به‌روز رسانی متفاوتی دارند. محققان شرکت Search-Lab در مجارستان پی بردند که این اپلیکیشن‌ها در طول فرآیند به‌روز رسانی پروتکل امنیتی روی سرور مقصد را معتبر نمی‌شناسند و همین آسیب‌پذیری روزنه‌ای را برای نفوذ مهاجمان به گوشی‌های LG به‌وجود می‌آورد.

Search-Lab در مقاله‌ای درباره این آسیب‌پذیری نوشت: «اپلیکیشن‌های جدید و یا به‌روز رسانی اپلیکیشن‌ها از طریق این کانال و بدون نیاز به تایید کاربران در قالب فایل‌های APK روی گوشی‌ها نصب می‌شوند، به این ترتیب مهاجمان می‌توانند این فرآیند استاندارد را برای نصب نرم‌افزارهای خرابکارانه روی اسمارت‌فون‌های کاربران دستکاری کنند. این اپلیکیشن‌ها ممکن است از هر مجوزی برای نصب استفاده کنند که این مساله ممکن است پلتفرم امنیتی اندروید را کاملا از کار بیندازد.»

فرآیند به‌روز رسانی روی گوشی‌های هوشمند LG به‌وسیله اپلیکیشن Update Center انجام و از طریق سروری به آدرس lgcpm.com صورت می‌گیرد. این اپلیکیشن برای به‌روز رسانی خودکار اپلیکیشن‌ها طراحی شده، اما محققان دریافتند که هکرها با قطع این اتصال می‌توانند بی سروصدا اپلیکیشن‌های خرابکارانه خود را جای اپلیکیشن‌های مجاز LG روی گوشی‌ها نصب کنند.
محققان می‌گویند: «اپلیکیشن‌های جدید هنگام به‌روز رسانی به دنبال appUrl می‌گردند که از کدگذاری base۶۴ و یک URL رمزنگاری شده برخوردار است. این کلید رمزنگاری برپایه certKey طراحی شده که بخشی از همان پیام اولیه محسوب می‌شود. از آنجا که هیچ فرآیندی برای محافظت از پیام‌ها وجود ندارد، مهاجمان می‌توانند فرآیند به‌روز رسانی اپلیکیشن‌ها را قطع کنند و appUrl را با URL دلخواه خود برای دانلود فایل‌های APK خرابکارانه جایگزین کنند.
«به‌این ترتیب فایل APK هکرها بدون آگاهی کاربران روی گوشی نصب می‌شود. این فرآیند حتی ممکن است در پس‌زمینه و در زمانی اتفاق بیفتد که کاربران گمان می‌کنند Update Center مشغول انجام به‌روز رسانی‌های لازم برای گوشی است.»

Search-Lab این آسیب‌پذیری را در ماه نوامبر گذشته گزارش داد و اعلام کرد LG این نقص امنیتی را تنها روی گوشی‌های جدید برطرف خواهد کرد و برای رفع آن روی گوشی‌های قدیمی‌تر برنامه‌ای ندارد. با وجود این محققان توصیه می‌کنند کاربران گوشی‌های قدیمی‌تر LG گزینه Auto app update (به‌روز رسانی خودکار اپلیکیشن‌ها) را روی گوشی‌های خود غیرفعال کنند.
امره راد، یکی از اعضای ارشد Search-Lab می‌گوید: «گوشی‌سازها برای به‌روز رسانی هر اپلیکیشنی باید از اپراتورها تاییدیه بگیرند، اما در مورد LG اکثر اپلیکیشن‌های این شرکت آلوده شده است. LG نیز در یک تصمیم تجاری اعلام کرد «فعلا» قصد ندارد این آسیب‌پذیری را برای اکثر کاربران خود رفع کند.»

مقامات LG اعلام کردند این گزارش امنیتی را باید دقیق‌تر بررسی کنند.




نوع مطلب :
برچسب ها :
لینک های مرتبط :

       نظرات
جمعه 12 تیر 1394
Ali Reza
جمعه 24 شهریور 1396 09:20 ق.ظ
Good replies in return of this difficulty with firm arguments and describing everything on the
topic of that.
دوشنبه 30 مرداد 1396 09:49 ق.ظ
Generally I don't read article on blogs, however I wish to say that this write-up very pressured me to try and do it!
Your writing taste has been amazed me. Thank you, very nice
article.
یکشنبه 15 مرداد 1396 11:40 ق.ظ
Ridiculous story there. What happened after?
Take care!
سه شنبه 6 تیر 1396 11:55 ق.ظ
Do you have a spam issue on this blog; I also am a
blogger, and I was curious about your situation; we have created some nice procedures and
we are looking to swap techniques with other folks, why not shoot me an email if interested.
چهارشنبه 23 فروردین 1396 04:54 ب.ظ
Very good article. I will be dealing with a few of these issues as well..
جمعه 18 فروردین 1396 11:43 ق.ظ
hey there and thank you for your information – I've
certainly picked up anything new from right here. I did however expertise some technical
points using this web site, since I experienced to reload the web site a lot of times previous to
I could get it to load correctly. I had been wondering if your web host
is OK? Not that I am complaining, but sluggish loading
instances times will very frequently affect your placement in google and can damage
your quality score if ads and marketing with Adwords. Anyway I'm adding this RSS to my e-mail and could look out for a lot more of your respective exciting content.
Make sure you update this again soon.
سه شنبه 15 فروردین 1396 11:19 ق.ظ
Definitely imagine that which you stated. Your favorite reason seemed to be on the web the easiest thing to keep in mind of.
I say to you, I definitely get annoyed while folks consider issues that
they just do not know about. You controlled to hit the nail upon the highest as smartly
as outlined out the entire thing without having side effect ,
other folks can take a signal. Will likely be again to get more.
Thank you
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر