محققان دریافتند برنامه‌های تلفن همراه حاوی کلید‌هایی هستند که می‌توانند هم به اطلاعات کاربر و هم به فایل‌های خصوصی برنامه‌های غیرمتصل دسترسی داشته باشند.

 برنامه‌های تلفن همراه مانند هر نرم افزار دیگری، می‌توانند مجموعه‌ای از مسائل امنیتی و قرار گرفتن در معرض تهدید را ایجاد کنند، از برنامه‌های سرکش که عمدتا مخرب هستند تا برنامه‌هایی که حاوی یک نقص مبهم، اما قابل توجه هستند. اکنون تحقیقات جدید، نظارت‌های سیستمی در زیرساخت‌های ابری اپلیکیشن‌های تلفن همراه را روشن می‌کند که بسیار رایج هستند و این خطر را ایجاد می‌کنند که داده‌های کاربران در جایی که نباید به بیرون درز کند یا به خطر بیفتد.

پژوهشگران به تازگی یافته‌هایی را در مورد شیوع اعتبارنامه‌های احراز هویت سخت کدگذاری شده در کمین سرویس‌های ابری که زیربنای صد‌ها برنامه اصلی هستند، منتشر کردند. این اعتبارنامه‌های ورود به سیستم اغلب برای دسترسی برنامه به یک فایل یا سرویس است، مانند مکانیزمی برای یک برنامه با هدف نمایش تصاویر عمومی از وب‌سایت شرکت یا اجرای متن از طریق یک سرویس ترجمه به درخواست کاربر، اما در عمل محققان دریافتند همین اعتبارنامه‌ها اغلب به همه فایل‌های ذخیره‌شده در یک سرویس ابری مانند داده‌های شرکت، پشتیبان‌گیری از پایگاه داده و اجزای کنترل سیستم اجازه دسترسی می‌دهند و هنگامی که چندین برنامه توسط یک شرکت توسعه شخص ثالث ایجاد شده است یا همان کیت‌های توسعه نرم افزار (SDK) در دسترس عموم را در خود جای داده است، این توکن‌های احراز هویت استاتیک ممکن است حتی به زیرساخت و داده‌های کاربر چندین برنامه غیر مرتبط دسترسی داشته باشند.

همه این‌ها به این معنی است که اگر مهاجم این توکن‌های دسترسی را کشف کند، به طور بالقوه می‌تواند با پیدا کردن یک کلید زیر یک درب، مجموعه‌ای از داده‌های حساس را باز کند.

ابر هنوز به نوعی مرز جدیدی است. دیک اوبراین می‌گوید: گاهی اوقات وقتی در مورد شیوه‌هایی که استفاده می‌شود می‌شنوید، متوجه می‌شوید که بسیاری از سازمان‌ها ممکن است در زمینه‌های دیگر در جایی که هستند در امنیت نباشند. سخت است که بگوییم آیا این افراد در حال قطع کردن هستند یا اینکه این صرفا ناآگاهی از چیزی است که شما با قرار دادن آن اعتبارنامه‌ها در آنجا افشا می‌کنید، اما مسلما بدیهی است که داده‌ها در جایی نزدیک به آن چیزی که باید محصور نمی‌شوند.

محققان ۱۸۵۹ برنامه در دسترس عموم را در اندروید و iOS پیدا کردند که حاوی اطلاعات رمزگذاری شده خدمات وب آمازون بودند. اکثریت قریب به اتفاق برنامه‌های iOS بودند، اعتبارنامه‌های موجود در بیش از سه چهارم برنامه‌ها به سرویس‌های ابری خصوصی دسترسی داشتند و تقریبا نیمی از آن‌ها به فایل‌های خصوصی نیز دسترسی دارند. پنجاه و سه درصد از برنامه‌ها حاوی نشانه‌های دسترسی بودند که در برنامه‌های دیگر، اغلب کاملا نامرتبط، نیز یافت می‌شد.

اوبراین می‌گوید: در ابتدا بسیار تعجب آور بود، اما این یک چیز سیستمی است. مردم باید یک ممیزی کامل از آنچه استفاده می‌کنند، انجام دهند و متوجه شوند که چندین لایه در آنجا وجود دارد. اعتبارنامه‌های موقتی که پس از مدت کوتاهی منقضی می‌شوند، احتمالا راهگشا هستند و باید آگاهی بیشتری در مورد نیاز به ذخیره اطلاعات وجود داشته باشد.

توسعه‌دهندگان اپلیکیشن‌ها را در جایی که بیشترین مشکلات را می‌بیند، مطلع کرده است؛ امید است آگاهی را در مورد اینکه چگونه شیوه‌های توسعه ناامن و منابع مشترک می‌توانند بدون بررسی دقیق و تقسیم‌بندی، ایجاد نوردهی کنند، افزایش یابد.


بیشتر بخوانید


منبع: wired

اخبار پیشنهادی
تبادل نظر
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.