امینت

تلفن همراه

گوشی

May 6, 2024
11:03 دوشنبه، 17ام اردیبهشتماه 1403
کد خبر: 165630

مایکروسافت در چند اپ اندرویدی با بیش از 4 میلیارد نصب، یک نقص امنیتی خطرناک کشف کرد

منبع: Digiato

این آسیب‌پذیری که «جریان آلوده» نامیده شده، تهدیدی جدی است و می‌تواند باعث سرقت اطلاعات ارزشمند کاربر شود.

محققان مایکروسافت یک نقص امنیتی مهم را در چند اپلیکیشن پردانلود اندرویدی کشف کردند. این آسیب‌پذیری که «جریان آلوده» (Dirty Stream) نامیده شده، تهدیدی جدی به‌شمار می‌آید و می‌تواند به مهاجمان امکان کنترل اپلیکیشن‌ها و سرقت اطلاعات ارزشمند کاربر را بدهد. این اپ‌های آسیب‌پذیر در گوگل پلی مجموعاً بیش از چهار میلیارد نصب دارند.

براساس مقاله مایکروسافت و گزارش سایت BleepingComputer، مهاجمان می‌توانند از آسیب‌پذیری موسوم به جریان آلوده در سیستم ارائه‌دهنده محتوای اندروید سوءاستفاده کنند. این سیستم معمولاً برای تسهیل تبادل امن اطلاعات بین اپلیکیشن‌های مختلف در یک دستگاه طراحی شده است. درواقع این سیستم دارای یک چهارچوب حفاظتی است تا داده‌ها به‌صورت امن انتقال یابند.

بااین‌حال، این سیستم یک حفره امنیتی دارد که می‌تواند به هکرها مجال نفوذ به دستگاه کاربر را بدهد. محققان مایکروسافت دریافتند که برخی از اپلیکیشن‌های پردانلود و آسیب‌پذیر ممکن است نام فایل‌ها یا مسیرها را به‌اندازه کافی بررسی نکنند و به یک برنامه مخرب این اجازه را می‌دهند تا به صورت مخفیانه به‌عنوان فایل‌های قانونی به دستگاه نفوذ کنند.

نقص امنیتی در اپلیکشن‌های پردانلود اندروید
با سوءاستفاده از نقص Dirty Stream، یک مهاجم می‌تواند یک اپلیکیشن آسیب‌پذیر را فریب دهد تا فایل‌های خود را در فضای ذخیره‌سازی آن بازنویسی کند. چنین اقدامی می‌تواند منجر به کنترل کامل آن اپلیکیشن توسط مهاجم، دسترسی غیرمجاز به داده‌های حساس کاربر، یا رهگیری اطلاعات خصوصی مربوط به لاگین در حساب‌ها شود.

محقق مایکروسافت می‌گویند که چندین اپ آسیب‌پذیر را در فروشگاه گوگل پلی شناسایی کرده‌اند که مجموعاً بیش از چهار میلیارد نصب دارند. اپلیکیشن File Manager شیائومی با بیش از یک میلیارد نصب و WPS Office با حدود 500 میلیون نصب، از برنامه‌های پردانلودی هستند که ممکن است از طریق این آسیب‌پذیری اجازه ورود کدهای مخرب را بدهند.

درحالی که توسعه‌دهندگان برای یافتن و اصلاح برنامه‌های آسیب‌پذیر تلاش می‌کنند، کاربران اندروید می‌توانند اقدامات احتیاطی ساده‌ای را انجام دهند. درصورت انتشار آپدیت برای این اپلیکیشن‌ها، حتماً آن‌ها را نصب کنید. علاوه‌براین، توصیه می‌شود همیشه اپلیکیشن‌ها را از فروشگاه رسمی گوگل پلی دانلود کنید و هنگام دانلود از منابع غیررسمی، که احتمال بیشتری دارد اپ‌های مخرب را میزبانی کنند، بسیار محتاط باشید.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.