تهران - ايرنا -شركت امنيت شبكه FireEye اعلام كرد:برنامه ‌هاي اندرويد و iOS همچنان در برابر حمله FREAK آسيب ‌پذير هستند.

به گزارش ايرنا از مركز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي، براساس اعلام شركت امنيت شبكهFireEye، هزار و 228 برنامه اندرويد كه 6.3 ميليارد دفعه از فروشگاه گوگل پلي دانلود شدند همچنان در برابر نقص امنيتي FREAK آسيب‌ پذير هستند.

FREAK يك ضعف رمزنگاري است كه به مهاجمان اجازه مي‌دهد داده‌ هاي در حال انتقال بين يك وب ‌سايت يا سيستم عامل آسيب‌پذير و سرورها را ملزم نمايد كه از پروتكل‌هاي ضعيف رمزنگاري استفاده كنند.

درصورتيكه اين مسأله با يك حمله man-in-the-middle همراه شود، اين داده‌ها به لحاظ تئوري مي‌ توانند مورد نفوذ قرار گيرد، چراكه كاربر به شكل ناآگاهانه در حال استفاده از يك رمزنگاري سطح پايين است.

به گزارش FireEye، هر دو پلتفورم اندرويد و iOS در برابر اين مسأله امنيتي آسيب‌پذير هستند. از آنجايي كه FREAK هم يك آسيب‌ پذيري پلتفورم و هم يك آسيب‌ پذيري نرم‌افزار است، حتي پس از عرضه اصلاحيه توسط گوگل و اندرويد ممكن است همچنان برنامه ‌ها در هنگام اتصال به سرورهايي كه رشته ‌هاي رمز RSA_EXPORT را مي‌پذيرند، آسيب‌پذير باشند.

محققاني با نام‌ هاي يولانگ ژانگ، هوئي زو، تائو وي و ژائوفنگ چن، برنامه ‌هاي فروشگاه گوگل پلي را مورد بررسي قرار دادند تا تخمين بزنند كه آسيب‌ پذيري FREAK در حال حاضر تا چه حد جدي است. اين گروه 10985 برنامه مشهور را كه هر يك بيش از يك ميليون بار دانلود شده بودند مورد بررسي قرار دادند و كشف كردند كه 11.2% از آنها، يعني 1228 برنامه همچنان در برابر اين نقص امنيتي آسيب‌پذير هستند.

در مجموع 664 برنامه از كتابخانه دروني OpenSSL در اندرويد استفاده كرده و 554 برنامه از كتابخانه ‌هاي خاص خود استفاده مي‌كنند.

بنا به ادعاي محققان در مورد iOS اين عدد به 771 برنامه از 14079 برنامه مي‌رسد. يعني 5.5% از برنامه‌هاي مشهور iOS به سرويس‌هاي آسيب‌ پذير متصل شده و در نتيجه در برابر حملات FREAK در iOS نسخه‌هاي پايين‌تر از 8.2 (كه اصلاح شده است) آسيب‌پذير هستند.

به گفته FireEye، مهاجم بدون شكستن رمزنگاري در زمان واقعي، مي‌تواند ترافيك رمز شده شبكه را ضبط كرده، آن را رمزگشايي كرده و به اطلاعات حساس درون آن دست يابد.

براي مثال يك حمله FREAK روي يك برنامه خريد مي‌تواند براي سرقت اعتبارات لاگين و اطلاعات كارت اعتباري مورد استفاده قرار گيرد. بعلاوه، برنامه‌هاي پزشكي، برنامه‌هاي توليد و برنامه‌هاي مالي نيز مي‌توانند آسيب‌پذير باشند.

علمي (1) ** 1201**1440