کشف یک رخنه در ویژگی “weblogin” اندروید

به گزارش اِی وی نیوز( پایگاه خبری امنیت شبکه و اطلاعات)، یک محقق امنیتی اظهار داشت که یک ویژگی در سیستم های اندروید می تواند برای از کار انداختن مجموعه ای از برنامه های کاربردی مربوط به کسب و کار مورد استفاده قرار گرفته و تأیید هویت دو مرحله ای را به طور کامل نادیده بگیرد.
در کنفرانس هک Defcon، یک محقق امنیتی با نام Craig YoungازTripwire  گفت که قادر است با استفاده از یک ویژگی برنامه های کاربردی گوگل را به طور کامل به مخاطره بیاندازد. او اشاره کرد که این ضعف در توکن”weblogin”  وجود دارد. این توکن به کاربران اندروید اجازه می دهد تا برای استفاده از تمامی خدمات مبتنی بر گوگل تنها یکبار ثبت نام نمایند.
در واقع این ویژگی به جای استفاده از رمز عبور، از کوکی ها استفاده می کند اما اگر مهاجمی به پنل کنترل دامنه دسترسی یابد می تواند باعث ایجاد خرابی شود در اینصورت مهاجم می تواند رمز عبور را مجددا تنظیم کند، فایل ها را از درایو دانلود نماید، تأیید هویت دو مرحله ای را غیرفعال کند و نقش های کاربر را تغییر دهد.
Young اظهار داشت که بهترین راه برای حفاظت خود و شرکت های بزرگ در برابر چنین تهدیدهایی آن است که هنگام دریافت درخواست های توکن هوشیار باشید، به منظور یافتن کدهای سوء استفاده از نرم افزار آنتی ویروس استفاده کنید و برنامه های کاربردی را تنها از منابع معتبر دانلود کرده و یا خریداری نمایید.
منبع: مرکز ماهر

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*