هم رسان: روش‌های ضعیف توسعه اپلیکیشن های موبایلی به ایجاد آسیب پذیری Eavesdropper منجر می‌شود که موجب افشای داده‌ها از تقریباً 700 اپلیکیشن در محیط‌های موبایلی شرکت‌ها شده است. بیش از 170 مورد از این اپلیکیشن ها در حال حاضر در فروشگاه‌های اپلیکیشن رسمی وجود دارند.

به گزارش پایگاه خبری هم رسان و به نقل از اینفوسکیوریتی، اپلیکیشن های اندرویدی آلوده به تنهایی بیش از 180 میلیون بار دانلود می‌شوند. طبق اظهارات محققان Appthority، آسیب پذیری Eavesdropper به دلیل هارد کد کردن اطلاعات در اپلیکیشن های موبایلی توسط توسعه دهندگان اتفاق می‌افتد که علیرغم بهترین روش‌هایی که شرکت در اسناد خود به آن‌ها اشاره کرده، از Twilio Rest AP یا SDK استفاده می‌کنند. در نتیجه این اپلیکیشن ها دسترسی کامل به تمامی یادداشت‌های ذخیره شده در Twilio را برای حساب توسعه دهنده فراهم می‌کند.
آسیب پذیری Eavesdropper در طول عمر اپلیکیشن و به دلیل استفاده توسعه دهنده از اطلاعات یکسان، اطلاعات مهم کنونی و قدیمی قابل توجهی را افشاء می‌کند. این اطلاعات شامل صدها میلیون رکورد تماس، مدت زمان مکالمه‌ها، مدت زمان مکالمات صوتی، پیام‌های متنی SMS و MMS می‌شود.
«ست هاردی» مدیر تحقیقات امنیتی Appthority می‌گوید: «Eavesdropper تهدیدی جدی برای داده‌های شرکتی به حساب می‌آید زیرا امکان دسترسی به اطلاعات محرمانه شرکتی را برای مهاجمان فراهم می‌کند. این اطلاعات شامل مجموعه‌ای از اطلاعات حساس و مهم از جمله مذاکرات، مباحث قیمت گذاری، تماس‌های استخدامی، افشاسازی محصولات و فناوری، تشخیص‌های پزشکی، اطلاعات بازاریابی و یا برنامه ریزی M&A است که اغلب در محیط‌های سازمانی به اشتراک گذاشته می‌شود. مهاجم می‌تواند فایل‌های صوتی ضبط شده را به متن تبدیل کند و مجموعه‌ای گسترده از اطلاعات را برای یافتن رمز عبور جست وجو کرده و اطلاعات مهم و با ارزش را پیدا کند.
از جمله اپلیکیشن های دارای آسیب پذیری Eavesdropper می‌توان به مواردی همچون اپلیکیشن مخصوص ارتباطات ایمن در یک سازمان قانونی فدرال، اپلیکیشنی که به گروه فروش شرکت‌ها اجازه می‌دهد صدا را ضبط کنند و بحث‌ها و گفتگوها را یادداشت کنند و همچنین اپلیکیشن های ناوبری با برچسب سفید یا با نام و برند خاص که مخصوص مشتریانی نظیر AT&T و US Cellular هستند، اشاره کرد.
مدیر تحقیقات Appthority همچنین می‌گوید این مسئله مخصوص توسعه دهندگان نیست که اپلیکیشن­هایی با Twilio را ایجاد می‌کنند.

محققان این شرکت در یک تجزیه و تحلیل اعلام کردند: «هارد کد کردن اطلاعات یک خطای رایج و فراگیر در بین توسعه دهندگان است که تهدیدهای امنیتی اپلیکیشن های موبایلی را افزایش می‌دهد. ما متوجه شده‌ایم توسعه دهندگانی که اطلاعات را در یک سرویس هارد کد می‌کنند، گرایش زیادی برای ارتکاب همین خطا در دیگر سرویس‌ها از جمله بین ابزارهای اپلیکیشن و ذخیره سازی اطلاعات مانند Amazon S3 دارند.
Eavesdropper بر یک jailbreak یا روت دستگاه تکیه نمی‌کند و از آسیب پذیری شناخته شده سیستم عامل و یا حمله از طریق بدافزار استفاده نمی‌کند. بلکه، این آسیب پذیری نشان می‌دهد که یک اشتباه ساده توسعه دهنده در قرار دادن اطلاعات در یک اپلیکیشن می‌تواند مجموعه بزرگ‌تری از اپلیکیشن های همین توسعه دهنده که از اطلاعات و اعتبارات یکسانی استفاده می‌کند را تحت تأثیر قرار دهد و حتی با استفاده از حملات قدیمی و غیرمستقیم دیگر اپلیکیشن ها که بهترین روش‌ها را دنبال کرده‌اند را دستکاری کنند.
متأسفانه با حذف کردن اپلیکیشن آلوده شده از فروشگاه اپلیکیشن و یا دستگاه‌های کاربران، آسیب پذیری Eavesdropper از بین نمی‌رود. اطلاعات و داده‌های یک اپلیکیشن خاص و اپلیکیشن های دیگر یک توسعه دهنده تا زمانی در معرض افشاء قرار خواهند داشت که اطلاعات و اعتبارات تمامی اپلیکیشن ها به طرز مناسبی به روزرسانی شود و البته در یک متن ساده و کاملاً مشخص در اپلیکیشن فاش نشود.
متأسفانه Eavesdropper تنها آسیب پذیری جدیدی نیست که توسط Appthority شناسایی شده است، محققان اخیراً آسیب پذیری HospitalGown را شناسایی کرده‌اند که 43 ترابایت اطلاعات موجود در 21 هزار سرور را افشا کرده است. Appthority همچنین به تهدیدهای مرتبط با سرویس‌های پلتفرمی مانند Uber و همچنین استفاده کم از استانداردهای رمزنگاری مانند App Transport Security اشاره می‌کند. این‌ها تنها مواردی محدود از خطرهای مربوط به اطلاعات و حریم خصوصی است که به تجزیه و تحلیل کامل اپلیکیشن های موبایلی برای شناسایی تهدیدهای موبایلی وارد بر اطلاعات و حریم خصوصی شرکت‌ها نیاز دارد.
سازمان‌ها باید ارزیابی‌های امنیتی سرویس‌های متفرقه را خودشان انجام دهند و علاوه بر تمهیدهای توسعه دهنده شکلی از نظارت خارجی را برای اقدامات مربوط به این سرویس‌ها در نظر داشته باشند. سازمان‌ها نباید به توسعه دهنده‌های متفرقه کاملاً اعتماد داشته باشند و باید محیط‌های سازمانی خود را برای یافتن رفتارهای غیرقابل قبول نظارت کنند.