نوشته‌ها

آسیب پذیر بودن برنامه های موبایل برای معاملات بورس سهام

بر اساس تحقیقاتی که توسط IOActive انجام شده است، بیش از 20 برنامه معاملات بورس سهام شامل نقص­هایی هستند که می تواند کاربران را در معرض خطر قرار دهد و منجر به دزدیده شدن پول یا از دست رفتن اطلاعات شخصی شود.

آلجاندرو هرناندز، مشاور ارشد امنیت IOActive، نتایج آزمایش خود را از 21 مورد از محبوب ترین برنامه­های معاملات سهام موبایل ارائه کرد. این برنامه ها معاملاتی به ارزش بیلیون­ها دلار در سال را پردازش می کنند و میلیون ها نفر از مردم سراسر جهان از آن ها استفاده می­کنند.

در مجموع، هرناندز این افشاگری­ها را برای 13 شرکت کارگزاری خصوصی ارسال کرد ولی پاسخ دلگرم­کننده نبود: فقط دو شرکت گزارش­ها را تأیید کردند.

هرناندز کنترل­های امنیتی را آزمایش کرد و دریافت که تعدادی از این برنامه ها، کلمه عبور کاربر را در متن واضح نشان می دهد. بدون اینکه رمزنگاری فعال شود، تهدیدکننده­ای که قادر به دسترسی فیزیکی به یک دستگاه باشد، می­تواند یک حساب کاربری را خراب کند.

همچنین 62 درصد از برنامه­ها داده­های مالی مهم را به طور مستقیم برای ورود فایل­ها و سیستم­ها ارسال می­کنند. هرناندز دریافت که 67 درصد داده ها در حالت استراحت به صورت رمزگذاری نشده ذخیره می­شوند.

دو مورد از برنامه­ها، از یک کانال HTTP رمزنگاری نشده برای انتقال و دریافت داده­ی استفاده می­کنند درحالی که حتی کانال­های رمزنگاری شده امن نبودند. 13 مورد از 19 برنامه­ای که از HTTPS استفاده می­کنند، اعتبار سرور از راه دور را از طریق یک روش مانند تأیید گواهی، بررسی نکردند. این بدان معنی است که اگر یک تهدیدکننده بتواند یک گواهینامه SSL مخرب را نصب کند، این تهدیدکننده را در موقعیتی قرار می دهد که یک حمله man-in-the-middle را راه اندازی کند.

منبع: https://securityintelligence.com/news/mobile-stock-trading-apps-vulnerable-to-attack

poC تراشه هک Wi-Fi برای سوء استفاده از سیستم عامل ios آیفون اپل

آسیب پذیری امنیتی در IOS 10 وجود دارد که امکان سوء استفاده از wi-fi را ایجاد کرده است.

گال بنامیینی، یک محقق امنیتی با Google Project Zero، آسیب پذیری امنیتی (CVE-2017-11120) را در آی فون اپل و سایر دستگاه هایی که از تراشه های Wi-Fi شرکت Broadcom استفاده می کنند، کشف کرده است. این نقص، اجازه دسترسی به گوشی هوشمند را از راه دور از طریق Wi-Fi به مهاجم می دهد.

آسیب پذیری که اخیرا کشف شده است،نشان داده است که هکر ها می توانند از راه دور دستگاه شما را کنترل کنند ولی آنها نیاز به مک آدرس آی فون یا شناسه پورت شبکه دارند و از آنجا که به دست آوردن آدرس MAC یک دستگاه متصل آسان است، آسیب پذیری به عنوان یک تهدید جدی برای کاربران آیفون محسوب می شود.

Beniamini می گوید که این نقص در تراشه های Broadcom وجود دارد که دارای نسخه سیستم عامل BCM4355C0 است، این تراشه نه تنها توسط آیفون استفاده می شود، بلکه توسط بسیاری از دستگاه های دیگر، از جمله گوشی های هوشمند آندروید، تلویزیون اپل و تلویزیون های هوشمند نیز استفاده می شود.

از آنجا که هیچ راهی برای پی بردن به این نکته که دستگاه شما از نسخه BCM4355C0 استفاده می کند یا خیر، وجود ندارد توصیه می شود که کاربران به روز رسانی اپل به iOS 11 را انجام دهند. اپل همچنین این مشکل را در آخرین نسخه tvOS خود نیز رفع کرده است.

همچنین، گوگل برای دستگاههای Nexus و Pixel و همچنین دستگاههای Android در اوایل ماه جاری به این موضوع  پرداخته است. با این حال، کاربران اندرویدی مجبورند منتظر بمانند تا سازندگان گوشی خود، به روز رسانی را در اختیار آنها قرار دهند.