تطبيق غميل على يوس عرضة للتطفل، وذلك بفضل “شهادة تعلق” عيب

تركت غوغل تدبيرا أمنيا رئيسيا في تطبيق غميل لنظام التشغيل يوس، مما جعل المستخدمين يتعرضون لمهاجمين يقفون بين اتصالاتهم المشفرة وخوادم غوغل.

وفقا لشركة لاكون المحمول الأمنية، وجوجل على بينة من فجوة أمنية في التطبيق غميل على دائرة الرقابة الداخلية، واحدة التي أغلقت بالفعل في التطبيق ما يعادلها لالروبوت.

المشكلة، وفقا لباحث لاكون أفي باشان، هو أن غميل على دائرة الرقابة الداخلية تفتقر حاليا ما يعرف باسم “شهادة تعلق” – وهو مقياس معروف أن المطورين يمكن بناء في تطبيقاتها للتخفيف من الهجمات التي تخدع الضحايا في تركيب ملف تعريف التكوين الخبيثة .

حافظت أبل على البرمجيات الخبيثة من المتجر ولكن أجهزة يوس، مثل منافسيها الروبوت، لا تزال عرضة لجميع أنواع الهجمات.

يتم استخدام ملفات تعريف التشكيل عادة في المؤسسة لتحديد إعدادات مثل واي-في و فين و خادم البريد الإلكتروني و الأهم في هذه الحالة و بيانات الاعتماد و مفاتيح التشفير. ومع ذلك، فإنها أيضا تعرض أجهزة للهجمات التي تقوض التشفير آمن طبقة المقابس (سل) بين التطبيق والخادم.

“على وجه الخصوص، في دائرة الرقابة الداخلية، يمكن للجهة الفاعلة التهديد تثبيت ملف تعريف التكوين الذي يحتوي على مرجع المرجع الجذر (كا) ملف التعريف التكوين هو ملف دائرة الرقابة الداخلية حساس للغاية الذي يسمح لهم بإعادة تعريف معلمات وظائف النظام مثل الجهاز، و مشغل شبكة الجوال و إعدادات الشبكة، و كا هو الجذر الجذري هو ما يمكن ممثل التهديد من إنشاء شهادات مزورة للخدمات المشروعة.ومن المهم أن نلاحظ أن التشكيل الجانبي التكوين هو بسيط جدا لتثبيت.أكثر من ذلك، العديد من سياسات المشاريع المشروعة تتطلب تركيبها، .

بدأت غوغل تثبيت الشهادة داخل كروم منذ بضع سنوات لمعالجة تهديد الشهادات الزائفة لخدماتها الخاصة عن طريق جعل المتصفح يتحقق من الشهادات التي يراها مع تلك التي يعرف أن غوغل تستخدمها. يمكن لمطوري الجوال القيام بنفس الشيء لجميع التطبيقات التي تستخدم اتصال طبقة المقابس الآمنة. بشكل منفصل؛ قامت غوغل ومايكروسوفت بتنظيف فوضى الشهادة الرقمية؛ هذا الأسبوع بعد إصدار وكالة حكومية هندية؛ شهادات وهمية لنطاقات غوغل وياهو. وفي هذه الحالة، يتم تثبيت شهادة غوغل في مستخدمي كروم المحميين من نطاقات غوغل المزعجة.

وفقا لباشان، أخطرت الشركة جوجل المشكلة في 24 فبراير وعلى الرغم من أن جوجل قد اعترف، التحقق من صحة وقال انه من شأنه إصلاح الخلل، فإنه لا يزال مفتوحا. ونشرت الشركة تفاصيل الضعف على أمل الضغط على غوغل في حل المشكلة.

وأجنحة الأمان الروبوت مقارنة؛ الروبوت إعادة تعيين الهاتف الذكي لا يمسح المعلومات الشخصية الخاصة بك – بما في ذلك أي سلفيس عارية؛ برامج التجسس تدعم الراقية الروبوت الهاتف

أبرزت غوغل الطبيعة اليدوية لناقلات الهجوم. “هذا ليس ثغرة أمنية في تطبيق غميل، فالسيناريو الذي يثيره لاكون سيطلب من المستخدم اتخاذ إجراء صريح – على وجه التحديد، إنشاء مرجع مصدق للجذر ضار بشكل مقصود يتيح إمكانية دخول الهاكر إلى تطبيقه. الرسائل التي ترسلها عبر تطبيق غميل على يتم نقل دائرة الرقابة الداخلية بأمان من خلال خوادم غوغل ما لم تكن قد أعدت تهيئتها عن قصد لجهازك “.

رفضت غوغل التعليق عند طلبها من موقع الويب عند أو إذا كان سيتضمن تثبيت الشهادة في تطبيقات يوس المستقبلية في يوس.

وفي حالة عدم وجود إصلاح من غوغل، نصح باشان الشركات بالتحقق من أن ملفات تعريف تكوين الجهاز لا تتضمن شهادات الجذر، أو التأكد من استخدام الموظفين للشبكة الظاهرية الخاصة (فين) أو قناة آمنة أخرى عند الاتصال بالمؤسسة، وللتحقق من الجهاز للرجل – المحاولات الوسطى.

مكتب التحقيقات الفيدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق مسؤولين حكوميين أمريكيين

الأمن؛ مكتب التحقيقات الفدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق المسؤولين الحكوميين في الولايات المتحدة؛ الأمن؛ وورد يحث المستخدمين على تحديث الآن لإصلاح الثغرات الأمنية الحرجة؛ الأمن؛ البيت الأبيض يعين أول رئيس مجلس أمن أمن المعلومات الاتحادية؛ الأمن؛ انتقد البنتاغون لسيبر استجابة الطوارئ من قبل الوكالة الحكومية الدولية

ووردبحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة

البيت الأبيض يعين أول رئيس أمن المعلومات الاتحادية

انتقد البنتاغون للاستجابة السيبرانية في حالات الطوارئ من قبل الوكالة الحكومية الدولية

الأمن الروبوت

Refluso Acido