رمزنگاری ضعیف در اپهای شیائومی؛ هشدار محققان امنیتی
پژوهش جدید دانشگاه پرینستون و Citizen Lab نشان میدهد نزدیک به نیمی از اپلیکیشنهای Mi Store از رمزنگاری ناامن استفاده میکنند و دادههای کاربران را در برابر هکرها آسیبپذیر میسازند.
تحقیق جدید محققان پرینستون نشان داده بسیاری از اپلیکیشنهای چینی Mi استور شیائومی از رمزنگاری امنی استفاده نمیکنند. به گفته محققان، ۴۷.۶ درصد برنامههای می استور امن نیستند.
محققان Citizen Lab و دانشگاه پرینستون در پژوهش جدیدی هزار و ۶۹۹ اپلیکیشن اندرویدی (۸۸۲ اپ از گوگل پلی و ۸۱۷ اپ از می استور) را تجزیهوتحلیل کردند و دریافتند ۴۷.۶ درصد برنامههای می استور به رمزنگاری ناامنی متکیاند ولی این رقم برای اپهای گوگل پلی فقط ۳.۵۱ درصد است. محققان میگویند استفاده از این پروتکلهای ناقص، بهجای پروتکل امنیت لایه انتقال استاندارد (TLS)، دادههای مهم کاربران را در معرض رهگیری قرار میدهد.
همچنین بخوانید: این اپلیکیشن با تصویر ناخن شما، کم خونی را تشخیص میدهد!
رمزنگاری ناامن اپلیکیشنهای چینی
محققان با ابزار اختصاصی خود ۹ سیستم رمزنگاری اپلیکیشنهای اندرویدی را مهندسی معکوس کردند. آنها دریافتند ۸ مورد از آنها ترافیک شبکهای ارسال میکردند که در برابر رمزگشایی هکرها آسیبپذیر است.
نکته نگرانکننده این بود که هرچه اپلیکیشنی در Mi استور محبوبتر باشد، احتمال استفاده از این سیستمهای رمزنگاری آسیبپذیر بیشتر است. در ۶۷.۲ درصد برنامههایی با بیش از یکمیلیارد دانلود از پروتکلهای ناامن استفاده شده. این رقم در برنامههایی با کمتر از ۵۰ میلیون دانلود ۴۰.۸ درصد است.
محققان در این پژوهش این نقاط ضعف را به سیستمهای رمزنگاری توسعهیافته غولهای فناوری چینی، ازجمله علیبابا، iQIYI، تنسنت و Kuaishou، نسبت میدهند. پروتکلها معمولاً از طریق توسعهدهندگان شخص ثالث در بسیاری از اپلیکیشنها قرار گرفتهاند؛ برای مثال، سیستم mPaaS SDK علیبابا که برنامههایی مانند UC Browser از آن استفاده میکنند، دادههای مرورگر کاربر را با کلیدی استاتیک (ثابت) رمزگذاری میکند که هکرها بهراحتی میتوانند آن را استخراج کنند.
درکل سیستمهای رمزنگاری اپهای چینی چند مشکل دارد که محققان به موارد زیر اشاره کردهاند:
- استفاده از الگوریتمهای منسوخ یا خراب مانند DES و AES که اغلب هیچ احراز هویتی فراهم نمیکنند.
- استفاده از کلیدهای استاتیک و قابلحدس که از مقادیری با کدهای قدیمی و با روش تصادفی ضعیف ایجاد شدهاند.
- استفاده نادرست از TLS طوری که ۴۹.۱ درصد برنامههای Mi Store در تأیید گواهی TLS ناموفق بودند و آنها را در برابر حملات مرد میانی یا MITM آسیبپذیر میکردند.
منبع: دیجیاتو
