گوگل به نظر می رسد مشکلی در توقف برنامه های مخرب از غرق شدن در فروشگاه Play داشته باشد.

در مواردی که به نظر می رسد مورد دیگری از نرم افزارهای مخرب که به عنوان یک برنامه مشروع شناخته می شوند، محققان امنیتی Symantec یک برنامه جدید را پیدا کرده اند که خود را به عنوان یک نسخه غیر رسمی نرم افزار پیام رسان Telegram معرفی می کند - فقط برای فشار دادن وب سایت های مخرب در پس زمینه.

به نام MobonoGram 2019، این برنامه از کد منبع باز برنامه Telegram معتبر استفاده کرد، اما قبل از انتشار آن در فروشگاه Google Play، با نرم افزارهای مخرب تزریق شد.


کد مخرب در دستگاه آلوده به منظور انتشار نرم افزارهای مخرب "Android.Fakeyouwon" مورد استفاده قرار گرفت و URL های مخرب دریافت شده از یک سرور فرمان و کنترل (C & C) را بارگیری کرد.

Google Play به عنوان یک حفره برای نرم افزارهای مخرب است
این اولین بار نیست که برنامه های مخرب در فروشگاه Play گوگل پیدا شده اند. در عرض چند ماه گذشته، غول جستجو با شمار زیادی از برنامه های مخرب در فروشگاه App مبارزه کرده است.

بخاطر ماهیت باز پلتفرم، مسئله ای است که به وقوع می پیوندد.

از برنامه های تقلبی و بازی ها برای کپی کردن برنامه هایی که به طور صریح تبلیغاتی در دستگاه های آلوده، از نرم افزارهای جاسوسی به برنامه های تبلیغاتی به منظور تولید درآمد ناامن استفاده می کنند، میزان تهدیدات دستگاه های اندرویدی بسیار گسترش یافته است.

از سوی دیگر، گوگل توانسته است Google Play Protect را به عنوان وسیله ای برای محافظت از دستگاه ها از برنامه های کاربردی مضر استفاده کند.

در حالی که تلاش های این شرکت باعث حذف بیش از 700،000 برنامه تنها در سال گذشته شد، شکاف در روند بررسی آن بارها و بارها باعث شده است که برنامه های بد با گذشت زمان و بار دیگر از بین بروند.

مسائل نیز با مشکلی بزرگتر از Play Store همراه شده است: بازیگران بد می توانند قصد واقعی خود را از طریق مخرب کردن کد مخرب در پشت موانع رمزگذاری که سخت افزار را برای تشخیص نرم افزارهای مخرب دچار مشکل می کنند، مسدود کنند.

با وجود این جریان مستمر از گزارشهای مربوط به ابزارهای تبلیغاتی جدید و سایر بدافزارهایی که در فروشگاه Google Play یافت میشوند، گوگل همچنان بر این تأکید است که نرخها در واقع بسیار پایین هستند و کاربران تنها تنها برنامههای نصب شده از Google Play را امنتر میکنند.

اما این حوادث به منظور نشان دادن محدودیت های فیلتر برنامه های خود گوگل، افزایش نگرانی های امنیتی در مورد فروشگاه آن ظاهرا بررسی شده است.

چگونه بدافزار MobonoGram کار می کند
MobonoGram موجود در زبان انگلیسی و فارسی، کاربران را در کشورهایی مانند ایران و روسیه هدف قرار داده است - جایی که برنامه رسما ممنوع است - و ایالات متحده.

محققان دریافتند که اگر چه برنامه قابلیت ارسال پیام های اساسی را فراهم می کند، همچنین نشان داده شد که مخفیانه چند سرویس در دستگاه را بدون رضایت کاربر اجرا می کند، همچنین بارگیری و مرور جریان بی پایان وب سایت های مخرب در پس زمینه.

"ترجمه مبالغهام یک نسخه غیر رسمی جریان اصلی Telegram است که بدون هیچ گونه فیلتر شکن کار می کند و ویژگی های بسیار بیشتری از Telegram و سایر نسخه های غیر رسمی دارد"، ترجمه فارسی توضیحات برنامه را می خواند.

برنامه مخرب دارای یک مکانیزم ماندگاری بود که برنامه را هر بار که دستگاه را بوت کرد یا هر بار که یک برنامه نصب یا به روز شد، راه اندازی کرد.

بر طبق محققان، این ویژگی Autostart که به عنوان یک سرویس پیش زمینه اجرا می شود یا پس از گذشت دو ساعت در صورت خاتمه سرویس، دوباره شروع می شود، برای ایجاد تعدادی از سرویس های اضافی بدون دانش کاربر استفاده می شود.

هنگامی که برنامه در حال اجرا بود، به مجموعه ای از سرویس دهنده های C & C دسترسی پیدا کرد تا URL های خرابکارانه، یک عامل کاربر مرورگر برای مخفی کردن منبع درخواست و سه کد جاوا اسکریپت را دریافت کند.

محققان اظهار داشتند که کد جاوا اسکریپت برای ایجاد تقلب کلیک و ایجاد درآمد آگهی تقلبی طراحی شده است.

"رویدادهای کلیک در عمل دیده نمی شد، حتی اگر همه جاوا اسکریپت ها واقعا لود شده بودند. با این وجود، ما نمیتوانیم به طور کامل امکان استفاده از نرم افزارهای مخرب را برای تقلب در کلیک یا برخی دیگر از سرقتهای مخرب رد کنیم. "

به غیر از این، محققین سیمانتک نیز دریافتند که برخی از URL ها وجود دارند که باعث ایجاد یک حلقه بی نهایت درخواست ها به یک وب سایت مخرب می شود. چنین فعالیتی می تواند باتری دستگاه را از بین ببرد، در حالی که به طور بالقوه باعث خرابی آن می شود.

بر اساس داده های دور سنجی بین ماه های ژانویه تا ماه مه سال 2019، شرکت امنیتی سایبری اعلام کرد که 1،235 عفونت مربوط به خانواده بدافزار Android.Fakeyouwon را شناسایی کرده و مسدود کرده است، با بیشترین تعداد عفونت در ایالات متحده، ایران، هند و امارات متحده عربی.

بلافاصله مشخص نیست که چه مدت MobonoGram 2019 در دسترس بود. اما این برنامه بیش از 100000 بار دانلود شده است، و توسعه دهنده - RamKal Developers - حداقل تا پنج روز به روز رسانی را پیش از آنکه گوگل آن را از فروشگاه Play حذف کرد. همان توسعه دهنده نیز یک برنامه دوم به نام Whatsgram منتشر کرد که رفتار مشابه مشابهی را نشان داد.

با این حال، یک جستجوی ساده نشان می دهد که برنامه ها همچنان در مخازن برنامه های غیر رسمی شخص ثالث در دسترس هستند.

دنیای تکنولوژی بدون نقص های امنیتی معنا ندارد؛ از حفره های سخت افزاری مانند ملتداون و اسپکتر در پردازنده های اینتل گرفته تا ایرادات نرم افزاری در زبان های برنامه نویسی. به تازگی شرکت امنیتی «وایت سورس» آسیب پذیری های موجود در 7 زبان برنامه نویسی پرکاربرد طی ده سال اخیر را بررسی کرده و نتایج جالبی را به دست آورده است.

طبق گزارش وایت سورس، زبان های برنامه نویسی C، جاوا، جاوا اسکریپت، پایتون، روبی، پی اچ پی و ++C در فهرست بیشترین آسیب پذیری قرار می گیرند. زبان C حدود نیمی از گزارش های امنیتی را به خود اختصاص داده و در صدر جدول قرار گرفته است.

گزارش وایت سورس

البته به گفته وایت سورس، حتی با وجود این همه آسیب پذیری هم نمی توان گفت که زبان C امنیت کمتری نسبت به دیگر زبان ها دارد. تعداد زیاد نقص های امنیتی زبان C به چند عامل وابسته است، از جمله اینکه قدمت بسیار بیشتری نسبت به بقیه دارد و کدهای فوق العاده زیادی با آن نوشته شده است. زیرساخت های نرم افزاری متعددی مانند OpenSSL و کرنل لینوکس هم از زبان C بهره می برند.

با این حال اگر برنامه نویسی را با C آغاز کرده باشید، احتمالاً می دانید که بعضی از مشکلات هم ذاتی هستند. یکی از مسائل اساسی زبان C رفتار نامشخص و تعریف نشده در شرایط مختلف است که می تواند آسیب پذیری های متعددی را ایجاد کند. از طرفی زبان ++C طی 5 سال گذشته با بحرانی ترین آسیب پذیری ها روبرو بوده است. خطاهای بافر که مدتها برنامه نویسان C را آزار می دادند، حالا در ++C خودنمایی می کنند.

جاوا اسکریپت که احتمالاً محبوب ترین زبان برنامه نویسی عصر حاضر به شمار می رود، تنها موردیست که طی 10 سال اخیر با افزایش مداوم تعداد آسیب پذیری ها روبرو بوده است. البته بیشتر معضلات امنیتی جاوا اسکریپت از نوع Path Traversal بوده یا مربوط به پکیج های ثالث هستند و فقط توسط ابزارهای آنالیز کد منبع شناسایی می شوند.

همان طور که انتظار می رود، شاهد عملکرد بسیار خوب زبان برنامه نویسی قدیمی پایتون از نظر امنیت هستیم. تقریباً تمامی زبان ها از حفره های امنیتی مشترک رنج می برند. دو نقص امنیتی که در 70 درصد زبان ها دیده می شوند، عبارتند از CWE-79 یا «تزریق اسکریپت از طریق وبگاه» و CWE-20 که به اعتبارسنجی داده ها مربوط است.
منبع: بلاگ گروه شرکت‌های کهکشان

هفته گذشته نشان داد که یک آسیب پذیری صفر روز اینترنت اکسپلورر می تواند بازیگران تهدید را قادر به سرقت اطلاعات محدود از رایانه های تحت ویندوز 7، ویندوز 10 و ویندوز سرور 2012 (R2). نوشتن برای Forbes، جیسون Evangelho توضیح داد که در حالی که این یک مرورگر وب قدیمی است، آسیب پذیری می تواند "حتی اگر شما هرگز عمدا از اینترنت اکسپلورر استفاده نمی شود" مورد سوء استفاده قرار گیرد. این به اندازه کافی بد بود، اما تا حدودی اثری از اثبات مفهوم بهره برداری به اثبات رسیده بود که این فایل system.ini بود که می توان آن را exfiltrated کرد و به طوری که نیاز به چند کلیک برای اجرای موفقیت آمیز بود. در حال حاضر همه چیز بدتر شده است، خیلی بدتر.

آسیب پذیری لبه چیست؟

تحقیقات جدید نشان داده است که کاربران ویندوز 10 اگر از مرورگر وب مایکروسافت استفاده کنند، خطر بیشتری دارند. محقق امنیتی Mitja Kolsek افشا کرد که چگونه اثبات اصلی مفهوم بهره برداری می تواند به نحوی بهبود یابد تا پرونده های به مراتب بیشتری را از بین ببرد و فایل مخرب به طور مستقیم از طریق Edge باز شود. این فایل مخرب از نوع MIME HTML (MHT) است. اینترنت اکسپلورر یک فایل MHT تک ایجاد می کند تا یک صفحه وب کامل را به یک درایو محلی ذخیره کند، که شامل تمام تصاویر، CSS، جاوا اسکریپت و لینک های داخلی است.

چیزی که کلسک در تحلیل آن که روز صفر روز اینترنت اکسپلورر را تحت تاثیر قرار داده بود، ویژگی ویندوز 10 نامشخص بود، که باید امنیت این پرونده ذخیره شده را علیه کدهای مخرب که میتواند در ساندویچ Edge اجرا شود، تقویت کند. به نظر می رسد این ویژگی امنیتی به طور موثری دیگری را که به عنوان علامت-the-web شناخته می شود، غیرفعال می کند که توسط اینترنت اکسپلورر استفاده می شود تا فایل ها را از اینترنت به عنوان نامعلوم پرچم گذاری کند. "ما متوجه شده ایم که فایل MHT مخرب نباید بارگیری شود و دستی توسط کاربر باز شود، فقط می توان آن را به طور مستقیم از Edge نیز باز کرد"، کولسک توضیح می دهد. علاوه بر این، کلسک می گوید استثنا نیز می تواند افزایش یابد تا آن را با خلوص بیشتری کار کند و "فایل های محلی را با استفاده از یک فایل MHT تکثیر کند."


پاسخ مایکروسافت

به گفته ZDNet، مواردی همچنان بدتر می شود، زیرا مایکروسافت قبلا رد کرد که یک پچ برای نفوذ سایبری اصلی را منتشر کند، که به این شرکت گزارش می دهد: "ما تصمیم گرفتیم که یک نسخه از این محصول یا سرویس در نظر گرفته شود. در این زمان، ما به طور مداوم به روز رسانی وضعیت وضعیت اصلاح این موضوع را ارائه نمی دهیم، و این پرونده را بسته ایم. "

مطمئنا این تحقیق جدید این قضاوت را تغییر خواهد داد؟ خوب، شاید نه بر اساس یک ایمیل از یک نماینده مایکروسافت که توسط Ars Technica منتشر شد، "تکنیک توصیف شده بر مهندسی اجتماعی متکی است و نیاز کاربر را به دانلود و باز کردن یک فایل مخرب MHT دارد. ما مشتریان را تشویق می کنیم که عادت های محاسباتی ایمن را به صورت آنلاین انجام دهند، از جمله استفاده از احتیاط در هنگام کلیک کردن لینک ها، باز کردن فایل های ناشناخته، و یا پذیرش انتقال فایل. "

چگونه ریسک را کاهش دهیم

Kolsek می گوید فقط کاربران لبه در معرض خطر هستند، بنابراین استفاده از مرورگر مایکروسافت حس خوبی نخواهد داشت. طبق گفته کلسک، هیچ کس دیگر مرورگرهای وب پیشین و مشتریان ایمیل که ما آزمایش کرده ایم با استفاده از پرچم امنیتی نامشخص در فایل های دانلود شده است که به طور موثر سوء استفاده را متوقف می کند. به نظر می رسد که مایکروسافت این مسئله را بازبینی کرده و پچ را توسعه می دهد. در همین حال، به عنوان یکی از بنیانگذاران سرویس پیکربندی Micro-patch، 0patch، رایگان است که برای استفاده شخصی و غیر انتفاعی آموزشی استفاده می شود، Kolsek همچنین چنین پچی میکرو برای کاربران ویندوز 10 را ایجاد کرده است.

یک محقق گفت که میلیون ها نفر از پرونده ها 300000 اسم راننده Tap30، شماره شناسایی و شماره تلفن ها را از بین می برند.

یک محقق کشف کرده است که بیش از یک ربع راننده برنامه رانی ایرانی، Tap30، اطلاعات خود را در یک پایگاه داده ناامن قرار داده است.

Tap30 یک برنامه تاکسی آنلاین است، شبیه به Uber، که کاربران را به درایورها از طریق برنامه تلفن همراه و پانل شرکت متصل می کند. برنامه دارای بیش از یک میلیون نصب در Google Play است.

باب Diachenko، پژوهشگر گفت که در روز پنج شنبه، یک پایگاه داده متعلق به Tap30 را برای مدت سه روز باز کرد و حدود 1 تا 2 میلیون پرونده منحصر به فرد را از بین برد. Diachenko به Threatpost گفت که این اطلاعات شامل حدود 300،000 راننده بود.

بر طبق گفته Diachenko، این داده ها که برآورد شده از سال 2017 تا 2018 است، شامل نام و نام خانوادگی رانندگان، شماره تلفن ها و شماره های شناسه ایران (ذخیره شده در متن ساده) می باشد: "تنها واقعیت این است که PII بسیار حساس اطلاعاتی که قابل شناسایی است) برای مدت حداقل 3 روز به صورت وحشی در دسترس است، ترسناک است. "

Diachenko به Threatpost گفت که پایگاه داده ایمن شده است و شواهدی وجود ندارد که اطلاعات مورد سوء استفاده قرار گرفته باشد. علاوه بر این، وی گفت که پایگاه داده یک "حادثه جداگانه" بود و فقط سوابق راننده (در مقایسه با اطلاعات مسافرین) در معرض قرار می گرفت.

او برای اولین بار در پایگاه داده با استفاده از موتور جستجوی BinaryEdge در طول یک ممیزی منظم از پایگاه داده های nonSql در سراسر پایگاه داده قرار گرفت.

این پایگاه داده "doroshke-invoice-production" نامیده می شود ("doroshke" به معنای حامل فارسی است) و دو مجموعه فاکتورها حاوی راننده و نام خانوادگی، 10 رقمی شماره شناسنامه ایرانی در متن ساده، شماره تلفن و تاریخ فاکتور است.

در حالی که Diachenko در اصل تخمین زده بود که پایگاه داده دارای 6.7 میلیون رکورد منحصر به فرد بود، پس از ضبط تکراری در مجموعه داده او به روز شده که برآورد به 1 تا 2 میلیون.

در ضمن، Tap30، پایگاه داده را تامین کرده است. Tap30 در یک سری از توییت ها گفت که آنها مطمئن هستند دسترسی به اطلاعات در مورد مسافران و سفرها وجود ندارد. این شرکت بلافاصله به درخواست نظر برای Threatpost پاسخ نداد.

به طور متداول در پایگاه داده های معرض - که به طور کلی لزوما مخرب نیست - شرکت های مضر همچنان ادامه دارد.

در ماه آوریل، صدها میلیون حساب فیس بوک، از جمله نام حساب ها، اطلاعات شخصی و موارد دیگر، در دو مجموعه جداگانه در دسترس برنامه های کاربردی قرار گرفته است. و در ماه ژانویه یک پایگاه داده نامناسب امن متعلق به ارائه دهنده Voice over Internet از VOIPO، میلیون ها نفر از سیاهههای مربوط به تماس مشتری، سیاهههای مربوط به SMS پیام ها و اعتبار نامه ها را در متن ساده برای ماه ها باز کرده است.

Diachenko گفت که خطر داشتن MongoDB در معرض و یا مشابه پایگاه داده NoSql "بزرگ است."

او گفت: "من قبلا گزارش دادم که فقدان احراز هویت امکان نصب نرم افزارهای مخرب یا ransomware را در سرورهای MongoDB فراهم کرد. "پیکربندی عمومی اجازه می دهد تا مجرمان اینترنتی برای مدیریت کل سیستم با امتیازات اداری کامل. هنگامی که بدافزار در جایی قرار دارد، مجرمان می توانند از راه دور به منابع سرور دسترسی پیدا کنند و حتی یک اجرای کد را برای سرقت و یا نابود کردن هر گونه اطلاعات ذخیره شده که سرور وجود دارد را اجرا کند. "

وبینار Threatpost رایگان ما، "Data Security in the Cloud،" در تاریخ 24 آوریل در ساعت 2 صبح، دست نزنید. ET

یک گروه از کارشناسان، سردبیر ارشد تهدید تهیه خواهد شد تا تارا مهر و موم را به بحث در مورد چگونگی قفل کردن داده ها زمانی که محیط پیرامونی سنتی دیگر جایگزین نشده است. آنها در مورد چگونگی پذیرش خدمات ابر ارائه چالش های امنیت سایبری جدید، از جمله ایده ها و بهترین شیوه ها برای قفل کردن این معماری جدید، بحث خواهند کرد. این که آیا مدیریت و یا امنیت داخلی راه رفتن است؛ و ابعاد جانبی مانند SD-WAN و IaaS.