امینت

تلفن همراه

October 24, 2020
10:59 شنبه، 3ام آبانماه 1399
کد خبر: 117411

حمله به مرورگرهای موبایلی

 
 
یک آسیب‌پذیری در مرورگرهای موبایل شناسایی شده که منجربه نمایش آدرس اشتباه و بازدید کاربر از سایت آلوده می‌شود؛ بنابراین لازم است کاربران هرچه سریع‌تر مرورگر خود را به‌روزرسانی کرده یا از مرورگرهای فاقد این آسیب‌پذیری استفاده کنند.
 
در مرورگرهای دسکتاپی چندین قابلیت و ویژگی برای شناسایی تغییرات در URL موجود است؛ اما این امکانات امنیتی در مرورگرهای موبایلی به دلیل اندازه کوچک صفحه‌نمایش و عدم وجود برخی از ویژگی‌های امنیتی، موجود نیست.
 
حملات ADDRESS BAR SPOOFING به مرورگرهای موبایلی شناسایی شده و در گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای)،  ۱۰ مورد از این ‫آسیب‌پذیری که به وب‌سایت آلوده این امکان را می‌دهد تا URL جایگزینی را به‌جای URL واقعی وب‌سایت به کاربر نمایش دهد، در هفت مرورگر موبایلی نام‌آشنا، از قبیل Apple Safari ، Opera Touch و Opera Mini و مرورگرهای دیگری مانند Bolt ، RITS ، UC Browser و Yandex Browser دیده می‌شود.
 
در اوایل سال جاری میلادی این موارد شناسایی و در ماه اگوست به سازندگان مرورگرها اعلان شد. سازندگان نام‌آشنا به‌صورت آنی وصله‌های لازم را ارائه دادند ولی سازندگان دیگر هیچ اقدامی در این خصوص انجام ندادند. در پیوست لیست آسیب‌پذیری جهت مطالعه بیشتر، آورده شده است.
 
منظور از آسیب‌پذیری ADDRESS BAR SPOOFING ضعفی در مرورگر است که به وب‌سایت آلوده این امکان را می‌دهد تا URL جایگزینی را به جای URL واقعی وب‌سایت به کاربر نمایش دهد. در مرورگرهای دسکتاپی چندین قابلیت و ویژگی برای شناسایی تغییرات در URL موجود است؛ اما این امکانات امنیتی در مرورگرهای موبایلی به دلیل اندازه کوچک صفحه نمایش و نبود برخی از ویژگی های امنیتی، موجود نیست.
 
بنا به مطالعات انجام‌شده می‌توان نتیجه گرفت که این آسیب‌پذیری با ایجاد تداخل مابین زمان بارگذاری صفحه و زمان رفرش (Refresh) آدرس URL، منجربه نمایش آدرس اشتباه به کاربر می‌شود. بنابراین بهره‌برداری از این باگ، مستلزم استفاده کاربر از مرورگر منسوخ‌شده و بازدید کاربر از سایت آلوده است. با توجه به این موارد می‌توان نتیجه گرفت که اجرای این حملات بسیار ساده و راحت است. پس پیشنهاد می‌شود که کاربران هرچه سریع‌تر مرورگر خود را به‌روزرسانی کرده یا از مرورگرهای فاقد این آسیب‌پذیری استفاده کنند.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.