گوگل بزرگترین برنامه VPN اندرویدی را از پلی استور حذف کرد
برنامه SuperVPN Free VPN Client یک برنامه موفق اندرویدی رایگان است که از 4 سال پیش با 10.000 نصب شروع به فعالیت کرد و هماکنون بیش از 100 میلیون نصب فعال دارد. گوگل تائید کرده است که این برنامه با بیش از 100 میلیون نصب فعال دارای آسیبپذیری است که منجر به شنود همهی ترافیک کاربر میشود. در ادامه به بررسی این آسیبپذیری که توسط محققان امنیتی در VPNpro کشفشده است، میپردازیم.
با تحلیل بیشتر مشخص شد که این برنامه به هاستهای متعدد متصل میشود و دریکی از این هاستها payload مشکوکی بااتصال نا امن HTTP از برنامه به هاست ارسال میشود. این payload حاوی دادههای رمزنگاریشده بود که در پاسخ، payload مشابهی دریافت میکرد. این payload حاوی کلیدهای موردنیاز برای رمزگشایی داده بود که با رمزگشایی آن، اطلاعات حساس سرور شامل گواهینامههای سرور و اعتبارنامهها که سرور VPN برای احراز هویت احتیاج داشت به دست آمد. محققان با جایگذاری اطلاعات سرور SuperVpn با سرور آزمون خود، به نتایج زیردست یافتند: اتصالاتی که از HTTP نا امن و آشکار استفاده میکنند ممنوع نیستند: ترافیک HTTP رمزنگاری نمیشوند درنتیجه هر فردی با رهگیری ترافیک قادر به شنود ارتباطات کاربر خواهد بود.
بستههای مخرب ارسالی مبهم سازی (obfuscated) شدهاند: اطلاعات ارسالی از برنامه (کاربر) و سرور رمزنگاریشده است.
در برنامه کلیدهای رمزنگاری hardcode شده یافت شد: متأسفانه باوجود رمزنگاری payloadهای مذکور، کلیدهای موردنیاز برای رمزگشایی در خود برنامه موجود است.
Payload حاوی اعتبارنامههای EAP است: VPN از اعتبارنامههای EAP برای جلوگیری از اتصالات خارج از برنامه به سرور خود استفاده میکند. اما با ارسال اعتبارنامههای EAP در payload که رمزنگاری نشدهاند یا رمزنگاری ضعیفی دارند استفاده از اعتبارنامههای EAP عملاً بیفایده خواهد بود.
با استفاده از این آسیبپذیری علاوه بر امکان حمله مردمیانی و شنود ترافیک، مهاجم میتواند با تغییر جزییات اتصال VPN، کاربر را بهجای اتصال به سرور VPN اصلی مجبور به اتصال به سرور مخرب خود کند.
همچنین برنامه Supervpn پیشتر در سال 2016 در مقالهای پژوهشی بهعنوان برنامه مخرب شناختهشده بود.
منبع: افتا
نظرات کاربران