فناوری 1404/02/30 12:02:26 | کد خبر: 13300

تحقیق جدید: بسیاری از اپلیکیشن‌های چینی اندروید از رمزنگاری ایمن استفاده نمی‌کنند

گون آیدین: به گفته محققان، 47.6 درصد اپلیکیشن‌های می استور شیائومی امن نیستند.

گون آیدین،تحقیق جدید محققان پرینستون نشان داده بسیاری از اپلیکیشن‌های چینی Mi استور شیائومی از رمزنگاری امنی استفاده نمی‌کنند. به‌ گفته محققان،47.6 درصدبرنامه‌های می استور امن نیستند.

محققان Citizen Lab و دانشگاه پرینستون درپژوهش جدیدی هزار و 699 اپلیکیشن اندرویدی (882 اپ از گوگل پلی و 817 اپ از می استور) را تجزیه‌وتحلیل کردند و دریافتند 47.6 درصد برنامه‌های می استور به رمزنگاری ناامنی متکی‌اند ولی این رقم برای اپ‌های گوگل پلی فقط 3.51 درصد است. محققان می‌گویند استفاده از این پروتکل‌های ناقص، به‌جای پروتکل امنیت لایه انتقال استاندارد (TLS)، داده‌های مهم کاربران را در معرض رهگیری قرار می‌دهد.

رمزنگاری ناامن اپلیکیشن‌های چینی

محققان با ابزار اختصاصی خود 9 سیستم رمزنگاری اپلیکیشن‌های اندرویدی را مهندسی معکوس کردند. آنها دریافتند 8 مورد از آنها ترافیک شبکه‌ای ارسال می‌کردند که در برابر رمزگشایی هکرها آسیب‌پذیر است.

رمزنگاری ضعیف اپلیکیشن‌های چینی اندروید

نکته نگران‌کننده این بود که هرچه اپلیکیشنی در Mi استور محبوب‌تر باشد، احتمال استفاده از این سیستم‌های رمزنگاری آسیب‌پذیر بیشتر است. در 67.2 درصد برنامه‌هایی با بیش از یک‌میلیارد دانلود از پروتکل‌های ناامن استفاده شده. این رقم در برنامه‌هایی با کمتر از 50 میلیون دانلود 40.8 درصد است.

محققان در این پژوهش این نقاط ضعف را به سیستم‌های رمزنگاری توسعه‌یافته غول‌های فناوری چینی، ازجمله علی‌بابا، iQIYI، تنسنت و Kuaishou، نسبت می‌دهند. پروتکل‌ها معمولاً از طریق توسعه‌دهندگان شخص ثالث در بسیاری از اپلیکیشن‌ها قرار گرفته‌اند؛ برای مثال، سیستم mPaaS SDK علی‌بابا که برنامه‌هایی مانند UC Browser از آن استفاده می‌کنند، داده‌های مرورگر کاربر را با کلیدی استاتیک (ثابت) رمزگذاری می‌کند که هکرها به‌راحتی می‌توانند آن را استخراج کنند.

درکل سیستم‌های رمزنگاری اپ‌های چینی چند مشکل دارد که محققان به موارد زیر اشاره کرده‌اند:

  • استفاده از الگوریتم‌های منسوخ یا خراب مانند DES و AES که اغلب هیچ احراز هویتی فراهم نمی‌کنند.
  • استفاده از کلیدهای استاتیک و قابل‌حدس که از مقادیری با کدهای قدیمی و با روش تصادفی ضعیف ایجاد شده‌اند.
  • استفاده نادرست از TLS طوری که 49.1 درصد برنامه‌های Mi Store در تأیید گواهی TLS ناموفق بودند و آنها را در برابر حملات مرد میانی یا MITM آسیب‌پذیر می‌کردند.
  • منبع:دیجیاتو
avatar
سلام

پایگاه خبری گون آیدین

مشاهده اخبار

کپی رایت © تمامی حقوق محفوظ است . توسعه با سیما رسانه شهر