آسیب‌پذیری در ابزار مدیریت از راه‌دور اندروید

محققان امنیتی آسیب‌پذیری را در ابزار مدیریت از راه‌دور اندروید، AirDroid بر روی بیش از ۵۰ میلیون دستگاه کشف کرده‌اند. این آسیب‌پذیری برای ارتباط با کارگزار از کانال‌های ارتباطی ناامن استفاده می‌کند و از طرف دیگر با قرار دادن کلید الگوریتم رمزنگاری در کد، راه را برای مهاجمان هموار کرده است. یک مهاجم می‌تواند با سواستفاده از این آسیب‌پذیری در پی به‌روزرسانی‌هایی که ارسال می‌کند کد مخرب خود را نیز در دستگاه قربانی اجرا کند.

Image title



محققان امنیتی هشدار داده‌اند که آسیب‌پذیری در ابزار مدیریت از راه‌دور اندروید، AirDroid بر روی بیش از ۵۰ میلیون دستگاه تاثیر خواهد گذاشت. این برنامه‌ی کاربردی بین ۱۰ تا ۵۰ میلیون دانلود از طریق نرم‌افزار Google play داشته است و بر طبق گفته‌ی محققان آسیب‌پذیری موجود در AirDroid به مهاجم اجازه‌ی بهره‌برداری از ویژگی‌های درونی برنامه و استفاده از آن‌ها برعلیه کاربران را می‌دهد.

آسیب‌پذیری AirDroid

طبق آن‌چه که تحقیقات نشان می‌دهد، AirDroid از کانال‌های ارتباطی ناامن استفاده می‌کند و این به آن معناست که میلیون‌ها کاربر این برنامه‌ی کاربردی در معرض حمله‌های مرد میانی و دیگر فعالیت‌های مخرب هستند. رخنه در اطلاعات همراه با ربودن به‌روزرسانی‌های APK و اجرای از راه‌دور کدها نیز در این مورد محتمل است.

همان‌طور که گفته شد در طی فرآیند تحلیل AirDroid، محققان کشف کردند که کانال‌های ارتباطی که برای ارسال داده‌های تشخیص هویت به کارگزارها استفاده می‌شوند، ناامن هستند. با وجود این‌که درخواست‌ها با الگوریتم رمزنگاری استاندارد داده، رمز می‌شوند اما کلید رمزنگاری در درون برنامه قرار داده شده است و مهاجم می‌تواند با بررسی برنامه به آن دست پیدا کند.

در صورتی که یک مهاجم در شبکه‌ی دستگاه هدف حضور داشته باشد می‌تواند با اجرای حمله‌ی مرد میانی اعتبارنامه‌ی تشخیص هویت را از درخواست‌های اولیه‌ی HTTP که برنامه ارسال کرده است، گرفته و با جعل هویت در درخواست‌های بعدی خود را به عنوان آن کاربر معرفی کند. این اقدام از آن‌جا ناشی می‌شود که درخواست‌های HTTP می‌توانند با کلید 890jklms که در کد موجود است، در زمان اجرا رمزگشایی شوند و با تجزیه کردن JSON، پارامتر مربوط به تشخیص هویت کشف شود. با داشتن چنین اطلاعاتی، مهاجم می‌تواند خود را به جای کاربر در دستگاه قربانی جعل کند و درخواست‌های HTTP یا HTTPS را در AirDroid ارسال کند. هم‌چنین مهاجم می‌تواند به سادگی یک پیام رمزشده‌ی DES با کلید موجود برای فریب دادن کارگزار و دریافت اطلاعاتی مانند پست‌الکترونیکی و گذرواژه ایجاد کند.

خطر آسیب‌پذیری AirDroid به آن‌چه که گفته شد محدود نمی‌شود. یک مهاجم می‌تواند با اجرای حمله‌ی مرد میانی ترافیک HTTP را یک پروکسی مخرب ارسال کند، پس قادر است پاسخ به درخواست /phone/vncupgrade را که برنامه از آن برای به‌روزرسانی‌های افزونه استفاده می‌کند، تغییر دهد. از آن‌جا که AirDroid به‌روزرسانی‌ها را به کاربر اعلام کرده و آن‌ها را دانلود و نصب می‌کند، بنابراین مهاجم با تزریق یک به‌روزرسانی جعلی می‌تواند کد مخرب خود را از راه‌دور در دستگاه قربانی اجرا کند.

مقابله با آسیب‌پذیری AirDroid

همان‌طور که گفته شد AirDroid برای مبادله‌ی بعضی از داده‌هایش از کانال‌های ناامن استفاده می‌کند و با این‌که الگوریتم‌های رمزنگاری در این بین استفاده شده است اما با قرار دادن کلید در کد برنامه رمزگشایی داده‌ها را برای مهاجمان راحت کرده است. برای حل این مسئله چندین اقدام باید صورت گیرد.

  • برنامه باید فقط از کانال‌های ارتباطی امن (HTTPS) استفاده کند.
  • صحت کلید عمومی راه‌دور برای جلوگیری از حمله‌های مرد میانی باید بررسی شود.
  • از راه‌کارهای مبادله‌ی امن برای کلید استفاده شود.
  • از راه‌کارهای مبادله‌ی امن برای کلید استفاده شود.
  • برای به‌روزرسانی فایل‌ها از امضاهای دیجیتالی استفاده شود.

مطابق با تحقیقات انجام شده، مواردی که بیان شد می‌تواند در رفع این آسیب‌پذیری سودمند واقع شود. در حال حاضر این آسیب‌پذیری در حال بررسی است تا در به‌روزرسانی‌های آینده برطرف شود اما محققان امنیتی توصیه کرده‌اند که تا زمان رفع شدن آسیب‌پذیری، برنامه‌ی AirDroid از روی دستگاه‌ها حذف و یا غیرفعال شود و از ضد بدافزار برای تشخیص چنین خطراتی استفاده شود.