کشف آسیب‌پذیری امنیتی در برنامه SHAREit

شکل ۱: برنامه shareit
شکل ۱: برنامه shareit


منتشر‌شده در: securitymagazine به تاریخ ۱۷ فوریه ۲۰۲۱
لینک منبع: Researchers find security vulnerabilities in sharing app SHAREit

اپلیکیشن SHAREit، یک برنامه کاربردی اندروید که بیش از یک میلیارد بار دانلود شده‌است، شامل آسیب‌پذیری‌های امنیتی تعمیرنشده‌ای است که سازنده برنامه برای بیش از سه ماه موفق به رفع آن‌ها نشده است. اپلیکیشن SHAREit یک برنامه کاربردی تلفن همراه است که امکان به اشتراک گذاری فایل بین دوستان و یا دستگاه‌های شخصی را فراهم می‌کند.

با توجه به گزارش ترندمیکرو (Trend Micro)، از آسیب‌پذیری‌های موجود در برنامه می‌توان برای نشت داده‌های حساس کاربر و اجرای کد دل‌خواه با مجوزهای SHAREit با استفاده از یک کد یا برنامه مخرب استفاده کرد. اکو دوان و جسی چانگ در ترندمیکرو گفتند که این آسیب‌پذیری می‌تواند به طور بالقوه منجر به اجرای کد از راه دور (RCE) شود. محققان، گوگل را از آسیب‌پذیری‌های این برنامه مطلع کردند.

او گفت: ما این آسیب‌پذیری‌ها را به آنها گزارش کردیم اما هنوز پاسخی نداده‌اند. ما تصمیم گرفتیم تحقیق خود را سه ماه پس از گزارش این موضوع افشا کنیم زیرا بسیاری از کاربران ممکن است تحت‌تاثیر این حمله قرار گیرند زیرا مهاجم می‌تواند داده‌های حساس را بدزدد و هر کاری را با مجوز برنامه‌های کاربردی انجام دهد. این همچنین به آسانی قابل‌تشخیص نیست.

مطالعه مقاله نقض حریم خصوصی در Clubhouse نیز توصیه می‌شود.

«بوراک آگکا»، مهندس در Lookout، ارائه‌دهنده راه‌حل‌های امنیتی تلفن همراه مستقر در سان‌فرانسیسکو، کالیفرنیا، توضیح می‌دهد: "همانطور که دستگاه‌های تلفن همراه مانند تلفن‌های هوشمند و تبلت‌ها برای زندگی روزمره ما ضروری‌تر می‌شوند، قابلیت‌های امنیتی بومی آنها عقب مانده است. به همین دلیل، آن‌ها در حال تبدیل شدن به هدف اصلی هکرها و تهدیدات هستند.”

با توجه به Agca، گوگل دسترسی کاربر به سیستم‌عامل اندروید را حذف کرده‌است و در حال حاضر راهی برای مدیریت ناوگان تلفن همراه با شرکت اندروید فراهم می‌کند. با این حال، مهاجمان هنوز هم فرصت ارائه‌شده توسط شکاف بین افشای آسیب‌پذیری‌های برنامه‌های کاربردی یا دستگاه و ارایه پچ برای رسیدگی به این مساله را دارند.
بدون وجود امنیت موبایل، رسیدگی به این شکاف برای سازمان‌ها غیرممکن است. آن‌ها باید به کارمندان‌شان تکیه کنند تا به‌روزرسانی‌های خود را در زمانی که در دسترس هستند اجرا کنند و اگر می‌خواهید املاک مدرن خود را ایمن نگه دارید، این استراتژی خوبی نیست.

علاوه بر شناسایی برنامه‌های مخرب آشکار، تیم‌های IT و امنیتی نیز به روشی برای اجرای تجزیه و تحلیل ریسک برنامه‌های تلفن همراه قبل از تامین برنامه‌های کاربردی برای پایگاه کارمند نیاز دارند. این رویداد یک مثال کلاسیک از این است که چگونه یک برنامه کاربردی آسیب‌پذیر می‌تواند منجر به به خطر افتادن کل دستگاه تلفن همراه شود. حداقل، این امر می‌تواند منجر به از دست دادن اطلاعات شرکت شود. با این حال، یک حمله پیشرفته‌تر می‌تواند حتی بیشتر آن را به خطر بیاندازد.

این یکی دیگر از نشانه‌های واضح رهبران فناوری اطلاعات است که نیاز به کارهایی بیش از فقط مدیریت دستگاه‌ها برای دستیابی به دید کامل در سراسر املاک متحرک خود دارند. EDR موبایل، کلیدی برای تیم‌هایی است که می‌خواهند خطرات موجود در چشم‌انداز تهدید فعلی را درک کنند و آن را کاهش دهند.

آگکا اضافه می‌کند: راه‌حل‌های امنیتی تلفن همراه، آسیب‌پذیری‌ها و رفتارهای مخاطره‌آمیز موجود در برنامه‌های تلفن همراه را پیش از تحریم آنها برای استفاده شرکتی، نمایان می‌سازند.
کاربران به روشی که داده‌ها و حریم خصوصی آن‌ها به کار گرفته می‌شود، نیاز به اعتماد دارند. فروشندگان نرم‌افزارهای بیشتری وجود خواهند داشت که اقدامات حفاظت از تهدید دنیای واقعی را در برنامه‌های کاربردی خود اجرا می‌کنند تا اعتماد کاربران را به دست آورند و پذیرش را افزایش دهند. عوامل تهدید در مهار برنامه‌های کاربردی موبایل و آسیب‌پذیری‌های سیستم‌عامل با هم برای ایجاد مسائل امنیتی جدی همانطور که در اینجا ذکر شد مهارت پیدا کرده‌اند. این موضوع، بحث در مورد امنیت موبایل را در میان تعدادی از بردارهای حمله مختلف که در حال حاضر برای تهدید فعالان بر روی موبایل در دسترس هستند، باز می‌کند.

مهندسی اجتماعی، حملات فیشینگ، دستگاه‌های آسیب‌پذیر و برنامه‌های مخرب همه مسائل امنیتی مرتبط با موبایل و همچنین کامپیوتر شخصی هستند. با این حال، بسیاری از سازمان‌ها هنوز در حال تشخیص این موضوع هستند که امنیت تلفن همراه باید به عنوان بخشی از استراتژی امنیتی بزرگ‌تر با اهمیت برابر برخورد شود. آگکا می‌گوید: « تشخیص تمام رویدادهایی که منجر به به خطر افتادن داده‌های کاربران می‌شود، در تضمین و ایمن‌سازی محیط‌های انتهایی مدرن بسیار مهم است.»

این متن با استفاده از ربات ترجمه مقالات مهندسی کامپیوتر ترجمه شده و به صورت محدود مورد بازبینی انسانی قرار گرفته است.در نتیجه می‌تواند دارای برخی اشکالات ترجمه باشد.
مقالات لینک‌شده در این متن می‌توانند به صورت رایگان با استفاده از مقاله‌خوان ترجمیار به فارسی مطالعه شوند.