تکنولوژی، نریمان

هشدار: امنیت میلیون‌ها کاربر موبایل در ایران در معرض خطر آلوده شدن به بدافزار است

اگر کاربر موبایل در ایران یا در نقطه‌ای دیگر در جهان هستید باید از این به بعد قبل از رفتن به این وب‌سایت‌های زیر دقت بیشتری کنید:

P30download.ir , Persianblog.ir, Khabaronline.ir, Niksalehi.com،Niloblog.com,Asriran.com,BlogSky.com

وب‌سایت های بالا از اعتماد کاربران خود سوء‌استفاده کرده‌اند و کاربران ایرانی را در خطر حملات سایبری و امنیتی قرار داده اند.  ماجرا چیست؟

یک شخصی (که یکی از منابع من بهم اطلاع دادند)، نزدیک به پرشین‌بلاگ با مدیران سایت‌های مطرح ایرانی تماس برقرار می‌کند و با پیشنهاد دادن مبلغ زیادی آنها را در دام خود میندازد. برای من عجیب است که چرا مدیران این وب‌سایت ها تا الان واکنشی به این حفره امنیتی که هم امنیت سرویس خودشان را تهدید می‌کند هم کاربران را واکنشی نشان نداده‌اند.

جریان از این قرار است که بعد از موافقت مدیران وب‌سایت های مطرح ایرانی، «شخص سواستفاده کننده» یک اسکریپت جاوا در وب‌سایت میزبان قرار می‌دهد و وقتی کاربران با موبایل آیفون یا اندروید خودشان به وب‌سایت مراجعه می‌کنند. سریعا به آنها یک پنجره نمایش داده می‌شود که دارای OK و CANCEL است و یک متن انگلیسی هم نوشته شده است.

کاربران آیفون: وقتی روی OK تاچ می‌کنند اپ‌استور برای آنها باز می‌شود تا اون برنامه‌ایی که اون کد تبلیغاتی! قبلا بهش معرفی کرده است را دانلود کنند.

کاربران اندروید: کاربران اندروید اما ماجرا فرق می‌کند! همین اتفاق برای کاربران اندروید میافتد اما با یک تفاوت، فایل apk بعد از زدن OK  در بیشتر مواقع شروع به دانلود شدن می‌کند.

Screen Shot 2014-06-03 at 11.44.10 PM

چرا برای کاربران اندروید این خطرناک است؟

بیشتر کاربران اندروید داخل کشور بخاطر مسدود بودن گوگل‌پلی در ایران، مجبور هستند تا گزینه unknown sources را در گوشی خودشان تیک بزنند تا بتوانند از مخزن‌های دیگری بجز گوگلی‌پلی اپلیکیشن دانلود کنند. همین کار به حمله‌کنندگان و دزدان اینترنتی اجازه می‌دهد تا برنامه‌های مخرب خودشان را روی اندروید کاربر سوار کنند و هرکاری بخواهند انجام دهند.

فقط در یک مورد وب‌سایت مک‌آفی‌ در مورد این بدافزار اینگونه می‌نویسد:

http://home.mcafee.com/virusinfo/virusprofile.aspx?key=367574

  • Tracks sensitive information such as SMS messages, calls, locations, URL list, contacts, calendar, bookmarks, and uploads them to the vendor’s server.

ردیابی اطلاعات حساس، همانند اس‌ام‌اس،تماس‌ها، اطلاعات موقعیت جغرافیایی، لیست آدرس اینترنتی‌ها، اطلاعات دفترچه تلفن، تقویم، بوکمارک‌ها و آپلود کردن آنها بر روی سرور بدافزار(حمله کننده)!!!!!!

 

خیلی شیک!

 

تازه در مواقعی اگر با کامپیوتر باشید و این اسکریپت اجرا شود، یک صفحه از جیمیل را صدا می‌زند!!! من دقیقا نفهمیدم چرا این کار را انجام می‌دهد اما خب حتما علاقه زیادی به اون قسمت نیز باید داشته باشه.

با یک حساب سر انگشتی اگه بگیم این وب‌سایت‌های که تا الان شناسایی کردم  در ماه ۱میلیون کاربر موبایل داشته باشند و همش اندرویدی باشند حدودا ۷میلیون کاربر اندروید هر ماه در خطر هستند!

مسئولان بنظرم بجای فیلتر کردن این سایت و اون سایت، یک اطلاعی به این عزیزان بدهند تا این کد را از سایتشون حذف کنند. چرا باید این همه هزینه میلیونی بشه برای سرویس خارجی که حتی تبلیغاتشم خارجی است و ممکن است برای کاربر ایرانی هزینه امنیتی داشته باشد؟ چه سودی بازار ایران برای این سرویس مخرب دارد؟! اینها همه سوالاتی است که مسئولین باید به دنبالش باشند!

Screen Shot 2014-06-03 at 11.43.53 PM

در آخر چهار نکته باید عرض کنم:

۱- موبایل‌ها امن نیستند، هرجقدر هم فکر کنید که امن هستند و رمزگزاری‌های جور واجور کنید. اون موبایل سخت افزاری ممکن است هزار چیز مخفی داشته باشند.

۲- برای ارتقاء امنیت گوشی اندرویدی خودتون برنامه lookout را نصب کنید. id.cafebazaar.ir/app/com.lookout/?l=fa

۳- کدی که روی مرورگر کاربر سوار میشه و موجب نمایش آن پیام و بافی ماجرا می‌شود را اینجا براتون گذاشتم:

https://drive.google.com/file/d/0B0RFLzzTuwqrcExwMjlqZTNyOVE/edit?usp=sharing

۴- کاربران دسکتاپ می‌توانند از افزونه‌های adblock و do not track me استفاده کنند.

 

لطفا این مطلب را با دوستان خود به اشتراک بگذارید.  اگر هم من جایی اشتباه کردم کامنت بذارید و استقبال می‌کنم. 🙂

 

استاندارد