حملات BAndroid و نقص در احراز هویت

به گزارش واحد امنیت سایبربان؛ این مشکل برای اولین بار سال گذشته به گوگل گزارش شد که بیشتر می‌توان به آن ضعف امنیتی گفت و فراتر از یک آسیب‌پذیری نرم‌افزاری ساده است.

آسیب‌پذیری BAndroid در نشست امنیت اندروید که سپتامبر گذشته در وین برگزار شد، به‌وسیله Victor van der Veen از دانشگاه Vrije آمستردام نشان داده‌شده است. 

در وب‌گاه BAndroid (که شامل ویدئو و پرسش و پاسخ نیز هست) پژوهش‌گران هلندی علت و محدوده این آسیب‌پذیری موردادعا را مشخص کرده‌اند. 

اگر مهاجمان بتوانند کنترل مرورگر را روی رایانه شخصی یک کاربر به دست‌گیرند، می‌توانند از خدمات گوگل (نظیر جی‌میل، گوگل پلاس و...) استفاده کنند، آن‌ها می‌توانند هرکدام نرم‌افزارها را با هر میزان مجوزی به سمت هرکدام از دستگاه‌های اندروید کاربر وارد کرده و آن‌ها را فعال کنند- که موجب می‌شود بتوانند احراز هویت دومرحله‌ای گوشی را دور بزنند. 

علاوه بر این، نصب آن نیز می‌تواند به‌صورت مخفی صورت گیرد (بدون اینکه هیچ آیکونی روی صفحه ظاهر شود). برای اختصار ما به این آسیب‌پذیری BAndroid  می‌گوییم (Browser-to-Android) و میگوییم که حمله رخ‌داده شده از نوع حملات BAndroid است.

 مقاله‌ای در مورد این مشکل در کنفرانس رمزنگاری مالی در فوریه نوشته‌شده است. یک مقاله پژوهشی که به مسائل گسترده‌تر احراز هویت دومرحله‌ای می‌پردازد با عنوان «چگونه کسی می‌تواند تنها با محاسبه احراز هویت دو مرحله‌ی گوشی شمارا دور بزند» در اینجا آورده شده است. در این مقاله، محققان استدلال می‌کنند که تلاش مداوم اپل برای هر چه بیشتر نزدیک‌تر کردن دستگاه‌های iOS و  OS X می‌تواند به همان اندازه خطرناک باشد. 
در این پژوهش، محققان هلندی، Radhesh Krishnan Konoth و Victor van der Veen، استدلال می‌کنند که «پردازش نرم‌افزارهای یکپارچه در بسترهای نرم‌افزاری متعدد می‌تواند اساساً فاصله بین آن‌ها را از بین ببرد» که برای امنیت مهم است. 

ادغام در حالِ انجام و میل به استفاده فزاینده از آن، موجب نفوذ به کلیدهای اصلی برای احراز هویت تلفن‌های همراه می‌شود. درنتیجه ما طبقه جدیدی از آسیب‌پذیری‌ها را خواهیم داشت که می‌توانیم آن‌ها را به‌عنوان آسیب‌پذیری‌های همگام‌سازی دومرحله‌ای نام‌گذاری کنیم.

 برای حمایت از این یافته‌های تئوری، این پژوهش‌گران حملات عملی علیه دستگاه‌های اندروید و iOS را ساماندهی کرده‌اند که نشان می‌دهد که یک حمله مردمیانی می‌تواند ارتقاءیافته تا به ره‌گیری گذرواژه‌های یک‌بارمصرف فرستاده‌شده به دستگاه تلفن همراه بپردازد و بنابراین مجموعه سازوکارهای احراز هویت دومرحله‌ای را که به‌وسیله خدمات مالی استفاده می‌شود دور بزند. 

دکتر Herbert Bos، استاد دانشگاه Vrije آمستردام که زمینه‌ی تحقیقاتی وی سیستم‌عامل‌ها و امنیت‌ آن‌ها است و در این مقاله امنیت تلفن همراه با این دو دانشجوی دکترا همکاری کرده است، اظهار کرده است که محققان بنا بر مسئولیت خود این آسیب‌پذیری‌های امنیتی را یک سال است که به گوگل اعلام کرده‌اند، اما ادعا می‌کنند که این غول فناوری «هنوز از اصلاح آن سر باز می‌زند.»

این پژوهش‌گر می‌گوید: به نظر می‌رسد، برخی از مردم تصور می‌کنند که اگر مرورگر اینترنت شما به خطر افتاد، درهرصورت شما قافیه را باخته‌اید، اما درواقع، احراز هویت دو مرحله‌ی برای مقابله با این مسئله ساخته‌شده است.
مشکل امنیتی در فروشگاه اندروید یا پلی استور موجب از بین رفتن امنیت ارائه‌شده به‌وسیله احراز هویت دو عامله بر اساس پیام کوتاه می‌شود (که به‌وسیله بسیاری از بانک‌ها، دولت‌ها و با تعجب خود گوگل استفاده می‌شود.)
او می‌گوید: «گوگل نمی‌خواهد که آن را اصلاح کند (این بخشی از طراحی آن است) اما درنهایت آن‌ها باید این تعمیرات را در اندروید اعمال کنند.»