فیلم بیشتر »»
کد خبر ۱۰۶۱۶۶۵
تاریخ انتشار: ۱۳:۱۸ - ۳۰-۰۲-۱۴۰۴
کد ۱۰۶۱۶۶۵
انتشار: ۱۳:۱۸ - ۳۰-۰۲-۱۴۰۴

اپلیکیشن‌های اندروید چینی ناامن هستند؟

اپلیکیشن‌های اندروید چینی ناامن هستند؟
پژوهشی تازه در دانشگاه پرینستون نشان می‌دهد که اپلیکیشن‌های اندروید چینی از نظر رمزنگاری بسیار ناامن هستند.

در یک پژوهش، محققان به بررسی تعداد ۱۶۹۹ اپلیکیشن برتر از فروشگاه گوگل پلی و همچنین ۸۱۷ برنامه از فروشگاه شیائومی پرداخته‌اند. نتایج به دست آمده نشان می‌دهند که در حدود ۴۷.۶ درصد از اپلیکیشن‌های موجود در فروشگاه شیائومی برای رمزگذاری ارتباطات شبکه‌ای خود به روش‌های اختصاصی و ناامن تکیه می‌کنند. این عدد در مورد اپلیکیشن‌های موجود در فروشگاه گوگل پلی تنها 3.51 درصد گزارش شده است. 

این استفاده گسترده از پروتکل‌های سفارشی و دارای نقص، به جای بهره‌گیری از پروتکل امنیتی لایه انتقال استاندارد (TLS)، داده‌های حساس کاربران را در معرض خطر قرار می‌دهد.

به گزارش خبرآنلاین به نقل از گجت‌نیوز، این گروه تحقیقاتی ابزاری خودکار به نام WireWatch را توسعه داده‌اند که به جستجو در فروشگاه‌های برنامه می‌پردازد، با رابط‌های کاربری برنامه‌ها تعامل برقرار می‌کند، ترافیک شبکه را ضبط کرده و سپس آن را به منظور شناسایی رمزگذاری‌های غیراستاندارد دسته‌بندی می‌کند.

تحلیل‌های انجام شده توسط آن‌ها نشان داد که اپلیکیشن‌های موجود در فروشگاه شیائومی که اغلب برای بازار چین توسعه یافته‌اند، از رمزگذاری اختصاصی با طراحی ضعیف استفاده می‌کنند. این برنامه‌ها، که مجموعاً 130 میلیارد دانلود داشته‌اند، شامل نام‌های شناخته‌شده‌ای هستند که توسط کیت‌های توسعه نرم‌افزاری (SDK) شرکت‌هایی نظیر علی‌بابا و تنست پشتیبانی می‌شوند.

آسیب‌پذیری‌ها در این برنامه‌ها بسیار آشکار بود. هشت مورد از 9 خانواده پروتکل رایج، از جمله Alibaba mPaaS و Tencent DNSPod، به دلیل استفاده از کلیدهای ثابت یا روش‌های رمزنگاری معیوب مانند AES-CBC بدون استفاده از روش پدینگ مناسب، درخواست‌های قابل رمزگشایی ارسال می‌کردند.

به عنوان نمونه، کیت توسعه نرم‌افزاری mPaaS متعلق به شرکت علی‌بابا که در برنامه‌هایی مانند UC Browser مورد استفاده قرار می‌گیرد، داده‌های مربوط به مرورگر را با یک کلید ثابت که در یک فایل تصویری ذخیره شده رمزگذاری می‌کند و این کلید به آسانی توسط مهاجمان قابل استخراج است.

این مسئله اطلاعات کاربران از قبیل تاریخچه مرور و فراداده‌های دستگاه را در معرض خطر شنود شبکه یا حملات میانی قرار می‌دهد. علاوه بر این، 49.1 درصد از برنامه‌های موجود در فروشگاه شیائومی در اعتبارسنجی گواهینامه‌های TLS با شکست مواجه می‌شوند که این امر میزان خطر را افزایش می‌دهد.

پیامدهای این موضوع، به ویژه با در نظر گرفتن مقیاس وسیع آن، بسیار قابل توجه است. اپلیکیشن‌های که بیش از یک میلیارد دانلود شده‌اند، به طور قابل‌توجهی تحت تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند.

پژوهشگران این مسائل را با فروشندگان این برنامه‌ها در میان گذاشته‌اند و برخی از آن‌ها مانند iQIYI و تنست تاکنون اصلاحاتی را اعمال کرده‌اند. یکی از محققان گفته است: «ادامه استفاده از روش‌های رمزنگاری سفارشی با طراحی ضعیف همچنان یک مشکل اساسی در میان محبوب‌ترین اپلیکیشن‌های تلفن همراه در سطح جهان به شمار می‌رود.»

ارسال به دوستان
عقب‌نشینی اسنپ‌پی از مفاد ضد رقابتی در قراردادها وزیر کشاورزی: اگر شرکت‌های امریکایی پیشنهادهای مناسبی ارائه دهند، طبیعتاً حجم معاملات می‌تواند افزایش یابد بحران هشت ماهه کمبود فاکتور ۱۳ در ایران اسراییل: ارائه زمین مصادره ایی برای ساخت سفارت آمریکا / یک دلار برای اجاره ۹۹ ساله   میدل ایست آی: اسرائیل اکنون روی ترکیه متمرکز شده است جام‌جهانی ۲۰۲۶ با چاشنی زنانه؛ لذت تماشای فوتبال با صداوسیمای بانوان! دوره جامع هدایت تحصیلی، برای انتخاب رشته آگاهانه در فیلیمومدرسه عضو هیأت رئیسه مجلس: ۵ قران بیشتر می‌دهیم، اما از آمریکا نمی‌خریم درخشش خیره‌کننده ارلینگ هالند در جام جهانی ۲۰۲۶ غریب آبادی: در دوحه هیچ نشستی میان هیات ایران و آمریکا برگزار نشده است پرداخت ۱۱۲ هزار میلیارد ریال از مطالبات طرح دارویار قدردانی پزشکیان از تیم ملی جزئیات آخرین وضعیت خدمات بانکی بانک ملی ایران کاخ سفید: ایران و آمریکا فرصت خوبی برای دستیابی به توافق هسته‌ای دارند لغو محدودیت تردد ناوگان مسافری در آزادراه غدیر