تکنولوژی، نریمان

هشدار: امنیت میلیون‌ها کاربر موبایل در ایران در معرض خطر آلوده شدن به بدافزار است

اگر کاربر موبایل در ایران یا در نقطه‌ای دیگر در جهان هستید باید از این به بعد قبل از رفتن به این وب‌سایت‌های زیر دقت بیشتری کنید:

P30download.ir , Persianblog.ir, Khabaronline.ir, Niksalehi.com،Niloblog.com,Asriran.com,BlogSky.com

وب‌سایت های بالا از اعتماد کاربران خود سوء‌استفاده کرده‌اند و کاربران ایرانی را در خطر حملات سایبری و امنیتی قرار داده اند.  ماجرا چیست؟

یک شخصی (که یکی از منابع من بهم اطلاع دادند)، نزدیک به پرشین‌بلاگ با مدیران سایت‌های مطرح ایرانی تماس برقرار می‌کند و با پیشنهاد دادن مبلغ زیادی آنها را در دام خود میندازد. برای من عجیب است که چرا مدیران این وب‌سایت ها تا الان واکنشی به این حفره امنیتی که هم امنیت سرویس خودشان را تهدید می‌کند هم کاربران را واکنشی نشان نداده‌اند.

جریان از این قرار است که بعد از موافقت مدیران وب‌سایت های مطرح ایرانی، «شخص سواستفاده کننده» یک اسکریپت جاوا در وب‌سایت میزبان قرار می‌دهد و وقتی کاربران با موبایل آیفون یا اندروید خودشان به وب‌سایت مراجعه می‌کنند. سریعا به آنها یک پنجره نمایش داده می‌شود که دارای OK و CANCEL است و یک متن انگلیسی هم نوشته شده است.

کاربران آیفون: وقتی روی OK تاچ می‌کنند اپ‌استور برای آنها باز می‌شود تا اون برنامه‌ایی که اون کد تبلیغاتی! قبلا بهش معرفی کرده است را دانلود کنند.

کاربران اندروید: کاربران اندروید اما ماجرا فرق می‌کند! همین اتفاق برای کاربران اندروید میافتد اما با یک تفاوت، فایل apk بعد از زدن OK  در بیشتر مواقع شروع به دانلود شدن می‌کند.

Screen Shot 2014-06-03 at 11.44.10 PM

چرا برای کاربران اندروید این خطرناک است؟

بیشتر کاربران اندروید داخل کشور بخاطر مسدود بودن گوگل‌پلی در ایران، مجبور هستند تا گزینه unknown sources را در گوشی خودشان تیک بزنند تا بتوانند از مخزن‌های دیگری بجز گوگلی‌پلی اپلیکیشن دانلود کنند. همین کار به حمله‌کنندگان و دزدان اینترنتی اجازه می‌دهد تا برنامه‌های مخرب خودشان را روی اندروید کاربر سوار کنند و هرکاری بخواهند انجام دهند.

فقط در یک مورد وب‌سایت مک‌آفی‌ در مورد این بدافزار اینگونه می‌نویسد:

http://home.mcafee.com/virusinfo/virusprofile.aspx?key=367574

  • Tracks sensitive information such as SMS messages, calls, locations, URL list, contacts, calendar, bookmarks, and uploads them to the vendor’s server.

ردیابی اطلاعات حساس، همانند اس‌ام‌اس،تماس‌ها، اطلاعات موقعیت جغرافیایی، لیست آدرس اینترنتی‌ها، اطلاعات دفترچه تلفن، تقویم، بوکمارک‌ها و آپلود کردن آنها بر روی سرور بدافزار(حمله کننده)!!!!!!

 

خیلی شیک!

 

تازه در مواقعی اگر با کامپیوتر باشید و این اسکریپت اجرا شود، یک صفحه از جیمیل را صدا می‌زند!!! من دقیقا نفهمیدم چرا این کار را انجام می‌دهد اما خب حتما علاقه زیادی به اون قسمت نیز باید داشته باشه.

با یک حساب سر انگشتی اگه بگیم این وب‌سایت‌های که تا الان شناسایی کردم  در ماه ۱میلیون کاربر موبایل داشته باشند و همش اندرویدی باشند حدودا ۷میلیون کاربر اندروید هر ماه در خطر هستند!

مسئولان بنظرم بجای فیلتر کردن این سایت و اون سایت، یک اطلاعی به این عزیزان بدهند تا این کد را از سایتشون حذف کنند. چرا باید این همه هزینه میلیونی بشه برای سرویس خارجی که حتی تبلیغاتشم خارجی است و ممکن است برای کاربر ایرانی هزینه امنیتی داشته باشد؟ چه سودی بازار ایران برای این سرویس مخرب دارد؟! اینها همه سوالاتی است که مسئولین باید به دنبالش باشند!

Screen Shot 2014-06-03 at 11.43.53 PM

در آخر چهار نکته باید عرض کنم:

۱- موبایل‌ها امن نیستند، هرجقدر هم فکر کنید که امن هستند و رمزگزاری‌های جور واجور کنید. اون موبایل سخت افزاری ممکن است هزار چیز مخفی داشته باشند.

۲- برای ارتقاء امنیت گوشی اندرویدی خودتون برنامه lookout را نصب کنید. id.cafebazaar.ir/app/com.lookout/?l=fa

۳- کدی که روی مرورگر کاربر سوار میشه و موجب نمایش آن پیام و بافی ماجرا می‌شود را اینجا براتون گذاشتم:

https://drive.google.com/file/d/0B0RFLzzTuwqrcExwMjlqZTNyOVE/edit?usp=sharing

۴- کاربران دسکتاپ می‌توانند از افزونه‌های adblock و do not track me استفاده کنند.

 

لطفا این مطلب را با دوستان خود به اشتراک بگذارید.  اگر هم من جایی اشتباه کردم کامنت بذارید و استقبال می‌کنم. 🙂

 

استاندارد

21 نظر برای “هشدار: امنیت میلیون‌ها کاربر موبایل در ایران در معرض خطر آلوده شدن به بدافزار است

  1. حسین می‌گوید:

    سلام؛
    فکر نمیکنی احیاناً خودت آلوده شده باشی به بدافزار خاصی؟ چون من این سایت ها رو چک کردم و هیچ ریکویست خاصی از اینهایی که نوشتی داده نمیشه به جایی.
    با چند نفر چک کردی که این مشکل رو داشتن؟

  2. بله فایله اینه:
    go.mobtrks.com/notice.php?p=29379&interactive=1&pushup=1
    زمانی که میبینه با موبایل نیومدیم یه صفحه سفید نشون میده اما وقتی با یه یوزر ایجنت فیک (مثلا آیفون) میریم توش، اسکریپت مربوطه رو لود میکنه
    بررسی‌ش کردم اما ظاهرا یه چیزیه واسه درج بنر که البته به شکل پیچیده‌ای پیچونده بودنش که تا حدودی بازش کردم:
    http://pastebin.com/YaaX4zN5
    البته جالبی‌ش اینجاست که چندتا دامنه مرتبط با این اسکریپت همگی در چند ماه اخیر ثبت شده‌اند!

    • @علیرضا، دستت دردنکنه. آره. ببین این خطرناکه در همین الانش و فکر کن بخوان با یک تغییر کوچیک کل فایل را تغییر بدن و یا موقع بروزرسانی پرمیشن ها را تغییر بدهند.

  3. به نظر می رسه اپلیکیشن اندرویدی که ناخواسته نصب می شه، همین اپلیکیشن لینک زیر باشه که یک مارکته
    https://play.google.com/store/apps/details?id=com.mobogenie.markets
    در توضیحات خودشون هم می بینید که از اسپم عذرخواهی کردن و گفتن اشتباه از پارتنرشون بوده.

    من فایل رو گرفتم و سعی می کنم اطلاعات بیشتری از توش در بیارم.

    • @هوشمند جان، مرسی. حالا درست یا غلط کار خودشون هست زیاد کاری ندارم. اون بقول خودشون «پارتنرشون» می‌تونه بجای این اپ چیز دیگه‌ای در لحظه جایگزین کنه و هرکاری می‌خواد بکنه با کاربر ایرانی که داره مرورگردی می‌کنه و اینکه حتی می تونی با وارد کردن یک کد جاوااسکریپت جی‌کوئری گوشی فرد را به یک بات‌نت تبدیل و برای حملات دی‌داس ازش استفاده کنه بدون اینکه شخص متوجه بشه.

  4. بله مسلما. وجود اپلیکیشن های ناخواسته با دسترسی های زیاد، یک خطر بالقوه است و کاربرها باید این رو بدونن که می تونن دچار مشکلات زیادی بشن

  5. mab می‌گوید:

    سلام دوست عزیز حساب کاربری من در Twitter این پیغام می آورد مشکل چیست؟
    For security purposes, your Twitter account has been locked.
    باتشکر

  6. SA می‌گوید:

    درود….
    ممنون از حرکتتون….

    یک سوال:
    زمان نصب hola یک پنجره ای باز میشه که باید تمامی مطالبش رو تیک زد تا اجازه نصب بده.
    و با تیک زدن اون رسما اختیار کامپیوتر رو میزاریم در دست کسی دیگری….
    اجازه دسترسی به هیستوری, دانلودها, بوکمارکها, گرفتن عکس از دسکتاپ و خیلی چیزهای دیگه که فکر نمیکنم بدرد اون شرکت بخوره….

    میشه یکم توضیح راجبش بدید.
    و این که حتی اگر غیرفعال هم باشه این فعالیت رو انجام میده یا نه؟

    تشکر از زحمتهایی که میکشید….

  7. sina می‌گوید:

    سلام.اگه ریا نشه من هکر کلاه سفید هستم…

    دارم سایت های پرشین بلاگ و بلاگ اسکای رو چک میکنم خبر رو میدم

  8. alireza می‌گوید:

    سلام شما چه قراردادی با سایت کافه بازار دارید که هیچ بدگویی از کافه بازار ندارید درصورتی که خود برنامه کافه بازار خودش بدافزار هست روی گوشی ها ؟ پشتیبان اون برنامه هستید یا خودتون طراح هستید ؟ یا اون ها شما رو پشتیبانی میکنند ؟

  9. power می‌گوید:

    سلام ممنون از اطلاع شما من هم با چنین موردی برخورد داشتم ودیگه سراغ این سایتها نرفتم وفایلهایی که برای دانلود اتوماتیک به شما داده میشه به صورت مخربی کل گوشی رو بهم میریزه(بعد از نصب فایل اندرویدی)

  10. ق می‌گوید:

    سلام آقا نریمان. تو یکی از ویدیوهای اخیر که با امین ثابتی داشتید برای وی پی ان، استرانگ رو پیشنهاد دادید (اگر اشتباه نکنم). منظور شما این بود: http://strongvpn.com/
    کلا از خارج ایران چه وی پی انی رو شما پیشنهاد میدین برای استفاده داخلی؟
    ارادتمند.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *