امینت

تلفن همراه

September 4, 2018
19:32 سه شنبه، 13ام شهریورماه 1397
کد خبر: 93683

نشت اطلاعات حساس در سیستم‌عامل اندروید

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، نسبت به نشت اطلاعات حساس در سیستم عامل اندروید و دسترسی برنامه های نصب شده به اطلاعات گوشی کاربر، هشدار داد.
 
به گزارش مرکز راهبردی افتای ریاست جمهوری، اخیرا مشاهده شده که سیستم درونی پخش اطلاعات (System broadcasts) در سیستم‌عامل اندروید اطلاعات حساس کاربر و جزئیات دستگاه را ممکن است در معرض افشا قرار دهد و برنامه‌های نصب شده روی گوشی می‌توانند بدون اطلاع کاربر و یا اجازه وی به این اطلاعات دسترسی پیدا کنند.
 
اطلاعات نشت شده شامل نام شبکه WiFi متصل، BSSID شبکه WiFi، آدرس IP محلی، اطلاعات سرور DNS و آدرس MAC دستگاه است. اگرچه این نوع داده‌ها ممکن است در ظاهر بی اهمیت باشند، اما از آنها می‌توان برای ردیابی آنلاین کاربران و تعیین مکان دقیق یک کاربر استفاده کرد.
 
نشت این اطلاعات به دلیل وجود یک ویژگی داخلی در سیستم‌عامل اندروید به نام intents است. ویژگی intents به یک برنامه یا خود سیستم‌عامل اجازه می‌دهد تا یک پیام سیستمی داخلی را ارسال کند که این پیام توسط همه برنامه‌ها و توابع سیستم‌عامل که روی یک دستگاه اندرویدی اجرا می‌شوند، قابل خواندن است.
 
پژوهشگران امنیت موبایل Nightwatch متوجه شدند که اطلاعات اتصال WiFi و رابطه شبکه WiFi از طریق دو intents (NETWORK_STATE_CHANGED_ACTION و WIFI_P۲P_THIS_DEVICE_CHANGED_ACTION) منتشر می‌شوند.
 
برنامه‌های نصب شده روی یک گوشی اندروید (همچنین مولفه‌های تبلیغاتی آنها) می‌توانند این دو intents را دریافت کنند و اطلاعات مرتبط با وای فای کاربر را حتی در صورتی که هنگام نصب به آن‌ها چنین دسترسی داده نشده باشد، دریافت کنند.
 
از آنجا که نشت این اطلاعات بدون اجازه کاربر به برنامه‌ها دسترسی به اطلاعات حساس را فراهم می‌کند، این امر سیستم مجوزدهی اندروید را بطور کامل تحت تاثیر قرار می‌دهد. برای مثال یک مهاجم می‌تواند با نصب برنامه‌ای در سیستم قربانی، اطلاعات WiFi وی را استخراج کند و از طریق شناسه BSSID قربانی، مکان دقیق او را به دست آورد.
 
نقص اشاره شده در تمام نسخه‌های فعلی اندروید وجود دارد. پژوهشگران این نقص را که با CVE-۲۰۱۸-۹۴۸۶ شناسه شده است، در ماه مارچ به گوگل گزارش کرده‌اند.
 
گوگل اعلام کرده است که نقص نشت اطلاعات وای فای ( WiFi ) را تنها در اندروید ۹.۰ (Pie) برطرف خواهد کرد.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.