اطلاعیه

Collapse
No announcement yet.

آسیب پذیری های مشکوکِ برنامه ی تلفن همراهِ ویژه ی کنفرانس rsa

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • آسیب پذیری های مشکوکِ برنامه ÛŒ تلفن همراهِ ویژه ÛŒ کنفرانس rsa



    آسیب پذیری های مشکوکِ برنامه ی تلفن همراهِ ویژه ی کنفرانس RSA


    کنفرانس RSA سال جاری علی رغم خدشه دار شدن نام شرکت RSA برای همکاری با آژانس جاسوسی NSA، برگزار شد. به منظور راحتی شرکت کنندگان در این کنفرانس، یک برنامه ی ویژه ی تلفن همراه تعبیه شده بود که به گفته ی شرکت IOActive دارای تعداد زیادی آسیب پذیری بوده است.

    مدیر فنیِ IOActive، Gunter Ollmann، ادعا می کند که این آسیب پذیری ها به مهاجم امکان اجرای حملات مرد میانی، تزریق کد مخرب و سرقت اطلاعات محرمانه ی حساب کاربری را می دهد.
    شاید اگر این برنامه هم مانند سایر برنامه های کاربردی تلفن همراه، یک برنامه ی عمومی بود، تاکنون هشدارهای فراوانی در مورد آسیب پذیری های آن منتشر می شد، اما این برنامه فقط ویژه ی کنفرانس RSA بوده است و تنها چند هزار بار بارگیری شده است.


    جالب ترین آسیب پذیری این برنامه مربوط به پایگاه داده ی SQLite است که در تلفن همراه قربانی بارگیری می شود و برنامه ی سخن رانی ها و خلاصه ی فعالیت های سخن ران را به کاربر نمایش می دهد و البته به دلیلی که هنوز مشخص نیست، این پایگاه داده نام و نام خانودگی تمام افرادی که این برنامه را بارگیری کرده اند را نیز شامل می شود!


    شاید آسیب پذیری های این برنامه واقعاً عمدی نبوده باشد، هرچند با توجه به شرایط افرادی که در این کنفرانس حاضر می شوند، قطعاً دست یابی به داده های آن ها ارزش مند است، اما نکته مهم این جاست که برنامه های خاص که برای مدت محدودی توسعه پیدا می کنند، غالباً دارای ضعف های امنیتی زیادی هستند که در یک برهه ی خاص و بدون این که سروصدایی در رسانه های در مورد آسیب پذیری آن ها منتشر شود، احتمالاً قربانیان بسیاری می گیرند و اطلاعات محرمانه ی زیادی را به سرقت می برند.

    با این تجربه ی گران بها، Ollmann به کاربران توصیه می کند، در کنفرانس ها و گردهمایی ها هرچند که محور کلیدی این کنفرانس، امنیت باشد، نمی توان به برنامه های تلفن همراه اعتماد کرد و بهتر است از روش های سنتی مانند زمان بندی کنفرانس به صورت کاغذی استفاده کرد.

    منبع +
Working...
X