ارسال پیام انقلابی از طریق برنامه ای تحت آندروید

افرادی برنامه اسلامی الصلاه که قبلا روی آندروید بوده را تغییر دادند به نحوی که وقتی این برنامه نصب و سپس اجرا میشود، به تمام کسانی که در لیست تماس صاحب تلفن هست sms میفرستد. محتوای این پیام های کوتاه، تجلیل از محمدبوعزیز است (دستفروش تونسی که خود را آتش زد و مسبب وقایع انقلابی در کشورهای عربی شد). البته نسخه اصلی این نرم افزار که بر روی اندروید مارکت هست مشکلی ندارد و آلوده نیست. بلکه این نسخه دستکاری شده و تغییر یافته بر روی سایتهای اینترنتی برای دانلود و نصب توزیع شده است.
این نرم افزار دستکاری شده اگر تشخیص دهد که صاحب تلفن در بحرین هست، یک فایل pdf که مربوط به گزارش نقض حقوق بشر در بحرین است را روی تلفن همراه قربانی دانلود میکند.

http://www.symantec.com/connect/blogs/android-trojan-spreads-message-revolution

آیا سیستم مجوز دهی اندروید از لحاظ امنیتی مطمئن هست؟

یکی از سیاستهای امنیتی که در ساختار اندروید بکار رفته این است که هر برنامه جدیدی که کاربر میخواهد بر روی این سیستم عامل نصب کند، قبل از نصب به کاربر هشدارمیدهد که این برنامه به چه بخشهایی از سیستم دسترسی خواهد داشت. مثلا آیا به شبکه دسترسی خواهد داشت یا نه، یا اینکه آیا به شماره تلفنهای ذخیره شده روی تلفن دسترسی خواهد داشت یا خیر. کاربر با کنترل این دسترسی ها، به ماهیت نرم افزار پی خواهد برد. مثلا اگر کاربر میخواهد نرم افزار ماشین حساب نصب کند، قطعا این نرم افزار نیازی به دسترسی به اینترنت یا شماره تلفنهای صاحب تلفن ندارد.اگر این نرم افزار مجوز دسترسی به اینترنت و شماره تلفنها را میخواهد، باید به این نرم افزار شک کرد.
جدا از اینکه ممکن است کاربران اصلا به این هشدارهای اندروید توجه نکنند، اگر کاربری اهمیت داد و به مجوزهای خواسته شده نرم افزار دقت کرد، آیا این مجوزها تضمین امن بودن نرم افزار را میدهد؟
با این توضیحات، اخیرا شرکت viaForensic موردی را نشان میدهد که نرم افزاری هیچ مجوزی نمیخواهد ولی عملا به اینترنت وصل میشود و راه را برای دسترسی و کنترل تلفن از راه دور را میدهد. این نشان میدهد که این سیستم مجوز دهی خیلی مطمئن نیست.
نحوه کار این نرم افزار اینطور است که پس از نصب، از طریق مرورگر موجود روی اندروید، اجازه ارتباط از راه دور 2 طرفه را فراهم میکند. این نرم افزار از هیچ حفره امنیتی در اندروید استفاده نمیکند بلکه از امکانات مجاز خود اندروید هوشمندانه استفاده میکند. قضیه از این قرار است که اندروید به نرم افزارها اجازه استفاده از مرورگر و وصل شدن به شبکه را میدهد و نیز مرورگر هم میتواند به نرم افزار دستوراتی را منتقل کند. به این طریق مرورگر واسطه ای است بین بدافزار و خرابکار کنترل کننده تلفن از راه دور. یعنی بدافزار دستورات دسترسی به شبکه خود را به مرورگر میدهد و نیز کنترل کننده نیز دستورات خود را به مرورگر میدهد. یعنی بدافزار از مجوز دسترسی مرورگر استفاده میکند و خود نیازی به مجوز دسترسی به شبکه ندارد.
این ضعف قبلا هم تذکر داده شده بوده و شرکت viaForensic کشف جدیدی نکرده است بلکه یک مورد عملی استفاده از این ضعف را نشان میدهد. این ضعف در اندرویدهای نسخه 1.5 تا 4 وجود دارد.
جزییات بیشتر همراه فیلم در صفحه زیر نشان داده میشود.

http://viaforensics.com/security/nopermission-android-app-remote-shell.html

کیف پول دیجیتالی گوگل (Google Wallet) ضعف امنیتی دارد.

Google Wallet برنامه ای است بر روی تلفن های موبایل با سیستم عامل آندروید برای سهولت در پرداخت و خرید کالا و خدمات با استفاده از تکنولوژی Near Field Communication) NFC). این نرم افزار اطلاعات کارت اعتباری کاربر را ذخیره میکند و کاربر با نزدیک کردن موبایل خود به دستگاه پرداخت مجهز به NFC  و وارد کردن یک PIN میتواند عملیات پرداخت را به سهولت و سرعت انجام دهد. طبق گزارش تحلیلی شرکت  viaForensics این نرم افزار آنچنان که انتظار میرفت از لحاظ امنیتی قوی نیست. تحلیل گران امنیتی این شرکت پی بردند که این نرم افزار اطلاعاتی مانند مانده حساب، محدودیت هزینه کرد، تاریخ انقضاء و نام روی کارت اعتباری را بدون رمز ذخیره میکند. همچنین اینکه کی و کجا از این نرم افزار برای پرداخت استفاده شده است. البته فقط با سطح دسترسی root  میتوان به این اطلاعات دست یافت. این نرم افزار همچنین حجم زیادی اطلاعات به Google Analytics میفرستد و مقداری اطلاعات بر روی سیستم آندروید ذخیره میکند که به عقیده تحلیلگران این اطلاعات ممکن است کار هکرها را برای نفوذ آسان تر کند. البته گزارش شرکت هنوز کامل نیست و در گزارش کامل ممکن است ضعفهای بیشتری گزارش شود.

http://viaforensics.com/mobile-security/forensics-security-analysis-google-wallet.html

رخنه های امنیتی به سبب برنامه هایی که از قبل روی اندروید نصب شده اند.

محققین دانشگاه کارولینای شمالی یافته اند که تعدادی از برنامه هایی که قبل از فروش روی بعضی تلفنهای آندروید نصب شده اند، رخنه امنیتی دارند و از طریق آنها میتوان به داده های صاحب تلفن دسترسی داشت، داده ها را پاک کرد، sms ارسال کرد، مکالمات را شنود کرد و مکان کاربر را تعیین کرد. این رخنه به این خاطر است که این برنامه های نصب شده از چهارچوب امنیتی که آندروید طراحی کرده استفاده نمیکنند. در حقیقت تلفن هایی که از طریق خود گوگل به فروش میروند و چهارچوب امنیتی اندروید را بطور کامل بکار میگیرند (یعنی تلفن های مدل Nexus ) مشکلی ندارند، و شرکت های دیگر مثل HTCو Motoroola که در آندروید تغییراتی داده اند، این مشکل را دارند. مشکل نیز از اینجا نشات میگیرد که این برنامه های از قبل نصب شده میتوانند اجازه دسترسی خود را مثل اجازه دسترسی به GPS و داده های ذخیره شده را به برنامه های دیگر انتقال دهند. بدین طریق برنامه هایی که اجازه دسترسی ندارند، میتوانند این اجازه را از برنامه هایی از قبل نصب شده بگیرند و خرابکاری خود را انجام دهند.
منبع:
http://www.csc.ncsu.edu/faculty/jiang/pubs/NDSS12_WOODPECKER.pdf

وجود احتمالی یک بد افزار بر روی بعضی تلفن های آندروید

محقق امنیت اطلاعات معتقد است که یک بد افزار بر روی بعضی تلفن های آندروید نصب است.
نرم افزاری از شرکت Carrier IQ که بر روی بیش از 141 میلیون تلفن با سیستم عامل آندروید نصب است، توسط یک محقق امنیت، بدافزار rootkit شناخته شده است. شرکت Carrier IQ صاحب این نرم افزار این ادعا را رد میکند و میگوید این نرم افزار با تجزیه تحلیل نحوه استفاده کاربر از موبایل خود برای کمک به شرکتهای مخابراتی برای ارائه پشتبانی بهتر به کاربران در هنگام قطعی های مکرر ارتباط و خالی شدن سریع باطری است.
Trevor Eckhart برنامه نویس آندروید و محقق امنیت، نرم افزار مذکور را بررسی کرده و طبق یافته های خود و با کمک توضیحات خود شرکت در دفترچه راهنمای نرم افزار، این نرم افزار اطلاعات وسیعی را از کاربر بطور مخفی جمع آوری میکند. بطور مثال اطلاعاتی مانند: چه برنامه هایی اجرا شده، چه وقت ms دریافت شده، زمان دریافت تماس ها، کلیدهایی که کاربر زده و اطلاعات مربوط به مکان کاربر. این نرم افزار با دریافت sms از شرکت مخابراتی مربوطه شروع به جمع آوری اطلاعات نموده و سپس اطلاعات جمع شده را به سروری متعلق به Carrier IQ میفرستد.
پس از انتشار این گزارش، شرکت Carrier IQ اعلام کرده که نرم افزارش rootkit نیست .
rootkit نوعی بدافزار است که به صاحب خود اجازه دسترسی کامل به همه منابع سیستم را میدهد، بدون اینکه مدیر سیتم از وجود آن خبر داشته باشد. درحقیقت root+kit ابزار (kit) است که اجازه دسترسی غیرمجازدر حد root را به نفوذ کننده میدهد. در سیستم عامل لینوکس، نام کاربری root اجازه دسترسی کامل رادارد که میتواند هر تغییری در سیستم بدهد.
http://androidsecuritytest.com/features/logs-and-services/loggers/carrieriq/