نفوذ به گوشیهای اندرویدی و هک آنها از طریق وب سایت
جدیدا برنامهای به گوشیهای اندرویدی نفوذ میکند که میتواند کنترل دستگاه را در اختیار فرد غریبهای قرار بدهد.
هنوز ساز و کار این نفوذ دقیقا مشخص نیست. ولی آشکار شده طی این حمله که از طریق JavaScript V8 صورت میگیرد، کنترل گوشی در اختیار فرد مهاجم قرار میگیرد و او سریعا هر اپلیکیشنی که بخواهد را روی آن گوشی هوشمند نصب میکند؛ اپلیکیشنهایی که در حکم دروازهای ورود بدافزارهای (Malwares) بیشتر هستند.
این برنامه بدون آگاهی کاربر، سریعا نصب میشود.
Quihoo 360 یک شرکت تامین امنیت اینترنتی و ساخت نرمافزارهای آنتی ویروس در چین است. «گوانگ گنگ» (Guang Gong) یکی از محققین این شرکت روز گذشته در کنفرانس «پکسک» (PacSec) در توکیو، خبر از یک حملهی نرمافزاری به پنل Pwn2Own داد.
جالبترین نکته دربارهی این نفوذ، عدم نیاز مهاجم به سایر حفرههای امنیتی در ابتدای کار است.
نفوذ به این شکل صورت میگیرد که کاربر، مرورگر کروم خود را باز میکند و آدرس یک وبسایت را وارد میکند؛ غافل از اینکه شکاف جدید توسط مهاجم، مشخصا روی این وبسایت لود شده؛ و تمام. گوشی آلوده شده است.
این برنامه بدون آگاهی کاربر، سریعا نصب میشود.
گرچه به محتوای گزارشهای نامربوط با این اتفاق رسیدگی نمیشود ولی تمامی آنها مورد بررسی قرار خواهند گرفت.
یکی از مسوولان پکسک در توضیح بیشتر این نفوذ گفته است: “این یک بار اتفاق افتاد. اما امروز اکثر مردم برای دسترسی به یک نرمافزار و لود کردن آن باید از تهدیدها و ریسکهای متعددی عبور کنند. به محض اینکه وبسایت را با گوشیتان باز کردید، JavaScript V8 در کروم، شروع به نصب یک اپلیکیشن میکند (که در این مورد، اپلیکیشن BMX Bike game بوده است). تمام این روند بدون آگاهی کاربر اصلی که صاحب گوشی اندرویدی است، پیش میرود و کنترل گوشی به دست یک غریبه میافتد.”
«گنگ» جزییات را افشا نکرد و نگفت که این نفوذ دقیقا چهطور صورت میگیرد. اما با همراهی برنامهی ردگیری باگهای شرکت گوگل (Google’s bug bounty programs)، مبلغی را به عنوان پاداش در قبال هرگونه گزارش مفید از سوی کاربران، در نظر گرفته است. او گفت: “این وظیفهی ماست که در اسرع وقت این مشکل را رفع کنیم و در عوض، انتظار داریم تا گزارشهای منطقی و صحیحی را دریافت کنیم. گرچه به محتوای گزارشهای نامربوط با این اتفاق رسیدگی نمیشود ولی تمامی آنها مورد بررسی قرار خواهند گرفت.”
منبع: Pcmag