تبلیغات
تازه های تکنولوژی دنیای دیجیتال - عدم شناسایی پروتکل SSL در اپلیکیشن به‌روز رسانی نرم‌افزاری LG
 
تازه های تکنولوژی دنیای دیجیتال
درباره وبلاگ



مدیر وبلاگ : Ali Reza
نویسندگان
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
ایتنا - وجود یک آسیب‌پذیری در بسیاری از گوشی‌های LG به مهاجمان امکان می‌دهد فایل‌های بدافزاری دلخواه خود را جایگزین فایل‌های APK کنند.

به گزارش ایتنا از روابط عمومی شرکت ایدکو(توزیع کننده محصولات کسپرسکی در ایران)؛ وجود یک آسیب‌پذیری در بسیاری از گوشی‌های LG به مهاجمان امکان می‌دهد فایل‌های بدافزاری دلخواه خود را جایگزین فایل‌های APK کنند.
اما مشکل در شرایط و ضوابط نصب نرم‌افزاری LG نهفته است. غول کره‌ای مانند اغلب سازندگان مطرح اسمارت‌فون اپلیکیشن‌های ویژه خود را روی گوشی‌هایش نصب می‌کند؛ اپلیکیشن‌های منحصر به فرد گوشی‌هایی LG که در Play Store گوگل پیدا نمی‌شود.

این اپلیکیشن‌های از پیش نصب شده برای به‌روز رسانی به سرورهای LG متصل می‌شوند اما هر کدام ساختار به‌روز رسانی متفاوتی دارند. محققان شرکت Search-Lab در مجارستان پی بردند که این اپلیکیشن‌ها در طول فرآیند به‌روز رسانی پروتکل امنیتی روی سرور مقصد را معتبر نمی‌شناسند و همین آسیب‌پذیری روزنه‌ای را برای نفوذ مهاجمان به گوشی‌های LG به‌وجود می‌آورد.

Search-Lab در مقاله‌ای درباره این آسیب‌پذیری نوشت: «اپلیکیشن‌های جدید و یا به‌روز رسانی اپلیکیشن‌ها از طریق این کانال و بدون نیاز به تایید کاربران در قالب فایل‌های APK روی گوشی‌ها نصب می‌شوند، به این ترتیب مهاجمان می‌توانند این فرآیند استاندارد را برای نصب نرم‌افزارهای خرابکارانه روی اسمارت‌فون‌های کاربران دستکاری کنند. این اپلیکیشن‌ها ممکن است از هر مجوزی برای نصب استفاده کنند که این مساله ممکن است پلتفرم امنیتی اندروید را کاملا از کار بیندازد.»

فرآیند به‌روز رسانی روی گوشی‌های هوشمند LG به‌وسیله اپلیکیشن Update Center انجام و از طریق سروری به آدرس lgcpm.com صورت می‌گیرد. این اپلیکیشن برای به‌روز رسانی خودکار اپلیکیشن‌ها طراحی شده، اما محققان دریافتند که هکرها با قطع این اتصال می‌توانند بی سروصدا اپلیکیشن‌های خرابکارانه خود را جای اپلیکیشن‌های مجاز LG روی گوشی‌ها نصب کنند.
محققان می‌گویند: «اپلیکیشن‌های جدید هنگام به‌روز رسانی به دنبال appUrl می‌گردند که از کدگذاری base۶۴ و یک URL رمزنگاری شده برخوردار است. این کلید رمزنگاری برپایه certKey طراحی شده که بخشی از همان پیام اولیه محسوب می‌شود. از آنجا که هیچ فرآیندی برای محافظت از پیام‌ها وجود ندارد، مهاجمان می‌توانند فرآیند به‌روز رسانی اپلیکیشن‌ها را قطع کنند و appUrl را با URL دلخواه خود برای دانلود فایل‌های APK خرابکارانه جایگزین کنند.
«به‌این ترتیب فایل APK هکرها بدون آگاهی کاربران روی گوشی نصب می‌شود. این فرآیند حتی ممکن است در پس‌زمینه و در زمانی اتفاق بیفتد که کاربران گمان می‌کنند Update Center مشغول انجام به‌روز رسانی‌های لازم برای گوشی است.»

Search-Lab این آسیب‌پذیری را در ماه نوامبر گذشته گزارش داد و اعلام کرد LG این نقص امنیتی را تنها روی گوشی‌های جدید برطرف خواهد کرد و برای رفع آن روی گوشی‌های قدیمی‌تر برنامه‌ای ندارد. با وجود این محققان توصیه می‌کنند کاربران گوشی‌های قدیمی‌تر LG گزینه Auto app update (به‌روز رسانی خودکار اپلیکیشن‌ها) را روی گوشی‌های خود غیرفعال کنند.
امره راد، یکی از اعضای ارشد Search-Lab می‌گوید: «گوشی‌سازها برای به‌روز رسانی هر اپلیکیشنی باید از اپراتورها تاییدیه بگیرند، اما در مورد LG اکثر اپلیکیشن‌های این شرکت آلوده شده است. LG نیز در یک تصمیم تجاری اعلام کرد «فعلا» قصد ندارد این آسیب‌پذیری را برای اکثر کاربران خود رفع کند.»

مقامات LG اعلام کردند این گزارش امنیتی را باید دقیق‌تر بررسی کنند.




نوع مطلب :
برچسب ها :
لینک های مرتبط :

       نظرات
جمعه 12 تیر 1394
Ali Reza
سه شنبه 11 اردیبهشت 1397 12:54 ق.ظ
резинка для растяжки киев
фитнес резинки цена
спортивная резинка купить
эспандеры резинки
будпорт резинки для фитнеса
چهارشنبه 22 فروردین 1397 02:33 ق.ظ
The jewel was seized by the Empire's East India Company as one of many spoils of battle
and presented to Queen Victoria in 1850.
سه شنبه 21 فروردین 1397 10:35 ب.ظ
Willingness versus capability may be the concern. Like for example, a tremendously smart one year old won't comprehend Don't eat the stuff from your own nappy.
سه شنبه 21 فروردین 1397 03:49 ق.ظ
Devise a obligatory native hallmarking system that might denote
the nation, the metal content and a maker's mark.
جمعه 17 فروردین 1397 05:57 ب.ظ
Have been taking little over a month.
جمعه 17 فروردین 1397 10:31 ق.ظ
Inform me if you would like more insults and put downs and please feel free to
add several your self knowing any.
جمعه 17 فروردین 1397 07:49 ق.ظ
Charity fundraising some ideas for charities.
جمعه 17 فروردین 1397 05:52 ق.ظ
These fossils debunk these evolution statements since
they provide proof that show otherwise to what the evolutionists claim to be clinical facts.
پنجشنبه 16 فروردین 1397 09:51 ب.ظ
Alternatively, if the rollers are slow to move when the tumbler is
one it usually signifies that the bearings
want oiling.
پنجشنبه 16 فروردین 1397 09:39 ب.ظ
Want to write a choose ad however you're uncertain how exactly to take action?
پنجشنبه 16 فروردین 1397 02:46 ب.ظ
Have actually been taking little over a month.
پنجشنبه 16 فروردین 1397 01:38 ب.ظ
The NERVE!
پنجشنبه 16 فروردین 1397 11:58 ق.ظ
Have been taking little over a month.
پنجشنبه 16 فروردین 1397 11:28 ق.ظ
I really like using hand crafted beads in jewellery.

Really nice lens! My dangle earrings get tangled, up with my bracelets.
پنجشنبه 16 فروردین 1397 10:56 ق.ظ
Have actually been taking little over a month.
جمعه 24 شهریور 1396 09:20 ق.ظ
Good replies in return of this difficulty with firm arguments and describing everything on the
topic of that.
دوشنبه 30 مرداد 1396 09:49 ق.ظ
Generally I don't read article on blogs, however I wish to say that this write-up very pressured me to try and do it!
Your writing taste has been amazed me. Thank you, very nice
article.
یکشنبه 15 مرداد 1396 11:40 ق.ظ
Ridiculous story there. What happened after?
Take care!
سه شنبه 6 تیر 1396 11:55 ق.ظ
Do you have a spam issue on this blog; I also am a
blogger, and I was curious about your situation; we have created some nice procedures and
we are looking to swap techniques with other folks, why not shoot me an email if interested.
چهارشنبه 23 فروردین 1396 04:54 ب.ظ
Very good article. I will be dealing with a few of these issues as well..
جمعه 18 فروردین 1396 11:43 ق.ظ
hey there and thank you for your information – I've
certainly picked up anything new from right here. I did however expertise some technical
points using this web site, since I experienced to reload the web site a lot of times previous to
I could get it to load correctly. I had been wondering if your web host
is OK? Not that I am complaining, but sluggish loading
instances times will very frequently affect your placement in google and can damage
your quality score if ads and marketing with Adwords. Anyway I'm adding this RSS to my e-mail and could look out for a lot more of your respective exciting content.
Make sure you update this again soon.
سه شنبه 15 فروردین 1396 11:19 ق.ظ
Definitely imagine that which you stated. Your favorite reason seemed to be on the web the easiest thing to keep in mind of.
I say to you, I definitely get annoyed while folks consider issues that
they just do not know about. You controlled to hit the nail upon the highest as smartly
as outlined out the entire thing without having side effect ,
other folks can take a signal. Will likely be again to get more.
Thank you
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر