مراقب باشید، این نرم افزار اندروید اطلاعات شما را لو می دهد !

   
نام نویسنده:
|
دسته بندی:
|
نرم افزار اندروید Nine رمزهای سرور MES شما را فاش می کند !

یک نرم افزارکه کاربران صنفی را قادر می سازد تا به سرور معاوضه کننده( MES ) خود متصل شوند اطلاعات سری کاربران را نیز فاش می کند، به نحوی که هکرها می توانند به راحتی به آن رمزها در قالب فایل های واضح متنی دسترسی یابند. 

سرور MES یک سرور تقویمی و پیام رسانی می باشد که توسطساخته شده و تنها با سرور ویندوز کار می کند. شرکت های تجاری معمولا از این سروردر کنار سرورهای خصوصیخود استفاده می کنند. از دیگر کاربرد های این سیستم می توان به فراهم سازی امکان اجرای نسخه نرم افزار محلی شده Outlook با کمک مجموعه برنامه های آفیس 365 اشاره کرد.

کارمندان شرکتی که می خواهند با استفاده از گوشی های خود به سرورهای MES شرکت خود متصل شوند می توانند از یک نرم افزار ثالث با نام ناین که کار نرم افزار Outlook را در سیستم عاملانجام می دهد، استفاده کنند. این نرم افزار در میان کاربرانمحبوبیت بالایی دارد به این نحو که طبق آمار موجود در حال حاضر تعدادی بین 500,000 تا 1,000,000 نفر کاربر آن را بر روی دستگاه های خود نصب کرده اند.

محققان امنیتی موسسه Rapid7 پس از بررسی این نرم افزار دریافته اند که هنگامی که این برنامه از SSL/TLS برای رمز گذاری مکالمات صورت گرفته بین گوشی هوشمند کاربر و سرور MES استفاده می کند، مجوزهای دریافت شده SSL/TLS اعتبار سنجی نمی شوند.

این فقدان اعتبار یابی، علی رغم به کار گیری یک شیوه قوی رمز گذاری مکالمات، امکانشدن ارتباطات صورت گرفته توسط این نرم افزار را در اختیار اشخاص ثالث می گذارد به این ترتیب که یککه از همان شبکهشرکتی استفاده می کند می تواند نقش یک واحد ذخیره کننده اطلاعات را بازی کند و ترافیک داده ها را ردیابی نماید.

محققان Rapid7 می گویند که زمانی که نرم افزار به سرور MESمتصل می شود، تایید ارتباط نیز می گردد. این جزییات به عنوان بخشی از درخواست های HTTPS ارسال می گردند که یکمی تواند آن ها را دریافت کند و رمزگشایی نماید زیرا گواهی های دروغین SSL/TLS در اختیار کاربر گذاشته می شود.

رمزها و اطلاعات سری کاربران سپس با استفاده از روش رمز گذاری Base64 فرستاده می شوند که به راحتی اطلاعات واقعی کارمندان را فاش می کنند و امکان ذخیره سازی آن ها نیز وجود دارد. 

محققان امنیتی می گویند به دلیل این که دو طرف این رابطه باید در یک شبکهشرکت داشته باشند این امکان برایوجود دارد تا از طریق حمل یک هات اسپات متحرکبه راحتی اطلاعات هر کاربری را که به شبکه او وصل می شود، دریافت کند. 

 

منبع: softpedia

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید