عدم شناسایی پروتکل SSL در اپلیکیشن به‌روز رسانی نرم‌افزاری LG

سرویس فناوری جوان ایرانی به نقل از ایتنا؛ بخش امنیت:

جوان ایرانی- وجود یک آسیب‌پذیری در بسیاری از گوشی‌های LG به مهاجمان امکان می‌دهد فایل‌های بدافزاری دلخواه خود را جایگزین فایل‌های APK کنند.

به گزارش جوان ایرانی به نقل از روابط عمومی شرکت ایدکو(توزیع کننده محصولات کسپرسکی در ایران)؛ وجود یک آسیب‌پذیری در بسیاری از گوشی‌های LG به مهاجمان امکان می‌دهد فایل‌های بدافزاری دلخواه خود را جایگزین فایل‌های APK کنند.
اما مشکل در شرایط و ضوابط نصب نرم‌افزاری LG نهفته است. غول کره‌ای مانند اغلب سازندگان مطرح اسمارت‌فون اپلیکیشن‌های ویژه خود را روی گوشی‌هایش نصب می‌کند؛ اپلیکیشن‌های منحصر به فرد گوشی‌هایی LG که در Play Store گوگل پیدا نمی‌شود.

این اپلیکیشن‌های از پیش نصب شده برای به‌روز رسانی به سرورهای LG متصل می‌شوند اما هر کدام ساختار به‌روز رسانی متفاوتی دارند. محققان شرکت Search-Lab در مجارستان پی بردند که این اپلیکیشن‌ها در طول فرآیند به‌روز رسانی پروتکل امنیتی روی سرور مقصد را معتبر نمی‌شناسند و همین آسیب‌پذیری روزنه‌ای را برای نفوذ مهاجمان به گوشی‌های LG به‌وجود می‌آورد.

Search-Lab در مقاله‌ای درباره این آسیب‌پذیری نوشت: «اپلیکیشن‌های جدید و یا به‌روز رسانی اپلیکیشن‌ها از طریق این کانال و بدون نیاز به تایید کاربران در قالب فایل‌های APK روی گوشی‌ها نصب می‌شوند، به این ترتیب مهاجمان می‌توانند این فرآیند استاندارد را برای نصب نرم‌افزارهای خرابکارانه روی اسمارت‌فون‌های کاربران دستکاری کنند. این اپلیکیشن‌ها ممکن است از هر مجوزی برای نصب استفاده کنند که این مساله ممکن است پلتفرم امنیتی اندروید را کاملا از کار بیندازد.»

فرآیند به‌روز رسانی روی گوشی‌های هوشمند LG به‌وسیله اپلیکیشن Update Center انجام و از طریق سروری به آدرس lgcpm.com صورت می‌گیرد. این اپلیکیشن برای به‌روز رسانی خودکار اپلیکیشن‌ها طراحی شده، اما محققان دریافتند که هکرها با قطع این اتصال می‌توانند بی سروصدا اپلیکیشن‌های خرابکارانه خود را جای اپلیکیشن‌های مجاز LG روی گوشی‌ها نصب کنند.
محققان می‌گویند: «اپلیکیشن‌های جدید هنگام به‌روز رسانی به دنبال appUrl می‌گردند که از کدگذاری base۶۴ و یک URL رمزنگاری شده برخوردار است. ��ین کلید رمزنگاری برپایه certKey طراحی شده که بخشی از همان پیام اولیه محسوب می‌شود. از آنجا که هیچ فرآیندی برای محافظت از پیام‌ها وجود ندارد، مهاجمان می‌توانند فرآیند به‌روز رسانی اپلیکیشن‌ها را قطع کنند و appUrl را با URL دلخواه خود برای دانلود فایل‌های APK خرابکارانه جایگزین کنند.
«به‌این ترتیب فایل APK هکرها بدون آگاهی کاربران روی گوشی نصب می‌شود. این فرآیند حتی ممکن است در پس‌زمینه و در زمانی اتفاق بیفتد که کاربران گمان می‌کنند Update Center مشغول انجام به‌روز رسانی‌های لازم برای گوشی است.»

Search-Lab این آسیب‌پذیری را در ماه نوامبر گذشته گزارش داد و اعلام کرد LG این نقص امنیتی را تنها روی گوشی‌های جدید برطرف خواهد کرد و برای رفع آن روی گوشی‌های قدیمی‌تر برنامه‌ای ندارد. با وجود این محققان توصیه می‌کنند کاربران گوشی‌های قدیمی‌تر LG گزینه Auto app update (به‌روز رسانی خودکار اپلیکیشن‌ها) را روی گوشی‌های خود غیرفعال کنند.
امره راد، یکی از اعضای ارشد Search-Lab می‌گوید: «گوشی‌سازها برای به‌روز رسانی هر اپلیکیشنی باید از اپراتورها تاییدیه بگیرند، اما در مورد LG اکثر اپلیکیشن‌های این شرکت آلوده شده است. LG نیز در یک تصمیم تجاری اعلام کرد «فعلا» قصد ندارد این آسیب‌پذیری را برای اکثر کاربران خود رفع کند.»

مقامات LG اعلام کردند این گزارش امنیتی را باید دقیق‌تر بررسی کنند.

کلمات کلیدی :
نظرات بییندگان :

بهترین مشاغل و خدمات شهر خود را ، در سایت نشونه پیدا کنید.

مشاهده سایت نشونه