‫ كشف يك رخنه در ويژگي "weblogin" اندرويد

شماره: IRCNE2013081919
تاريخ:22/05/92
 
يك محقق امنيتي اظهار داشت كه يك ويژگي در سيستم هاي اندرويد مي تواند براي از كار انداختن مجموعه اي از برنامه هاي كاربردي مربوط به كسب و كار مورد استفاده قرار گرفته و تأييد هويت دو مرحله اي را به طور كامل ناديده بگيرد.
در كنفرانس هك Defcon، يك محقق امنيتي با نام Craig YoungازTripwire  گفت كه قادر است با استفاده از يك ويژگي برنامه هاي كاربردي گوگل را به طور كامل به مخاطره بياندازد. او اشاره كرد كه اين ضعف در توكن"weblogin"  وجود دارد. اين توكن به كاربران اندرويد اجازه مي دهد تا براي استفاده از تمامي خدمات مبتني بر گوگل تنها يكبار ثبت نام نمايند.
در واقع اين ويژگي به جاي استفاده از رمز عبور، از كوكي ها استفاده مي كند اما اگر مهاجمي به پنل كنترل دامنه دسترسي يابد مي تواند باعث ايجاد خرابي شود در اينصورت مهاجم مي تواند رمز عبور را مجددا تنظيم كند، فايل ها را از درايو دانلود نمايد، تأييد هويت دو مرحله اي را غيرفعال كند و نقش هاي كاربر را تغيير دهد.
Young اظهار داشت كه بهترين راه براي حفاظت خود و شركت هاي بزرگ در برابر چنين تهديدهايي آن است كه هنگام دريافت درخواست هاي توكن هوشيار باشيد، به منظور يافتن كدهاي سوء استفاده از نرم افزار آنتي ويروس استفاده كنيد و برنامه هاي كاربردي را تنها از منابع معتبر دانلود كرده و يا خريداري نماييد.

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 22 مرداد 1392

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0