IPIment ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Android

شرکت تاکیان - توسعه امن کیان - تاکیان

بدافزار جدیدی که اطلاعات مهم را از برنامه های پیام رسان سرقت میکند

Takian.ir Malware for Android messenger apps

به گزارش سایت www.2-spyware.com، کارشناسان امنیتی یک بدافزار جدید را کشف کردند که که بدون اجازه به دستگاه‌های اندروید وارد می‌شود و اقدام به دزدی اطلاعت شخصی تایپ شده در برنامه های پیام رسان میکند. این برنامه مخرب به عنوان یک ویروس ساده ولی موثر است که قادر به پنهان کردن حضور خود در دستگاه به صورت موثر است.

این تروجان برای حفظ پایداری خود، تلاش میکند که فایل "/ etc / install-recovery.sh" را بر روی دستگاه هدف تغییر دهد. اگر این تغییر موفقیت‌آمیز باشد، ویروس با هر بار راه‌اندازی دستگاه مجددا فعال می‌شود.
به نظر می‌رسد که هدف اولیه این بدافزار، دزدیدن اطلاعات از همه پیام رسان های نصب‌شده روی دستگاه است و سپس آن را به یک Remote Server ارسال می‌کند. آدرس IP سرور ذکر شده از یک فایل پیکربندی محلی بازیابی شده‌است.این بدافزار فعالیت خود را بر روی پیام رسان های زیر به نتیجه میرساند:

  • Skype
  • Facebook Messanger
  • Twitter
  • Viber
  • Telegram Messenger
  • Line
  • Weibo
  • Tencent WeChat
  • Walkie Talkie Messenger, etc.

همان طور که مشاهده میکنید اکثر پیام رسان های محبوب در سراسر جهان به منظور استخراج اطلاعات، تحت‌تاثیر قرار می‌گیرند.

پیکربندی مبهم مانع تشخیص بد افزارهای مخرب می شود

با وجود عملکرد ابتدایی این بدافزار، متوجه میشویم که از رویکرد پیچیده‌ای برخوردار است که در هنگام گریز از تشخیص از آن استفاده می‌کند.به طور معمول نرم افزارهای امنیتی نمیتوانند این تهدید را تشخیص دهند، زیرا فایل پیکربندی و یک قسمت از ماژولهای آن را مسدود میکند. تحلیل و انالیز پویا نیز براحتی مقدور نیست زیرا این بدافزار از قابلیت های ضد شبیه سازی (anti-emulator) و اشکال زدایی (debugger) ستفاده می‌کند.
محققان امنیتی متوجه شده‌اند که بدافزار در داخل کد منبع خود، یک strings را پنهان کرده‌است تا در معرض قرار نگیرد. سرور C & C و مقادیر دیگر در یک فایل پیکربندی قرار گرفته اند که به بدافزار کمک می‌کند تا با کنترلر خود ارتباط برقرار کند.
این بدافزار اولین بار در یک برنامه چینی بنام ماژول ابری (Cloud Module) پیدا شد و از پکیجی با نام com.android.boxa استفاده کرد. با این حال، به این دلیل که هیچ فروشگاه نرم افزارهای اندروید (Play Store) در چین وجود ندارد، بسیار محتمل است که تهدید مغرضانه از طریق وب سایت‌های شخص ثالث و سایت‌های اپلیکیشن آندروید توزیع شود.

داده‌های نشت شده ممکن است برای اهداف غیر قانونی استفاده شوند

حتی اگر داده‌های جمع‌آوری‌شده ممکن است اطلاعات حیاتی مانند کلمه عبور بانکی را افشا نکنند، می‌تواند اطلاعات مفید دیگری مانند محل ملاقات، پروژه‌ها، نام‌ها و غیره را جمع‌آوری کند. این داده‌ها می‌توانند برای تعیین اهداف و گرایش‌های سازمان‌ها به کار روند.علاوه بر این، می توان آن را برای کمپین های جاسوسی یا برای کسب اطلاعات در مورد کارکنان خاص برای اجرای کمپین های فیشینگ و آلوده کردن شبکه ها با ransomware یا تهدیدات سایبری مشابه استفاده کرد.
مدیر خدمات مشاوره‌ای EMEA، آقای Neil Haskins نگران شیوه و روش شرکت‌ها و کارمندانی است که اطلاعات حساس را اداره می‌کنند:

"بسیاری از سازمان‌ها زمان، پول و منابع را صرف امنیت پلتفرم های ایمیل با آخرین و بزرگ‌ترین تکنولوژی می‌کنند. آن‌ها اسناد پالیسی های پست الکترونیکی را بیرون می‌آورند و سپس به کاربران در مورد استفاده مناسب از ایمیل آموزش می‌دهند، و فراموش می‌کنند که کارمندان نیاز دارند که اطلاعات بیشتری در خصوص پیام رسان ها دریافت ‌کنند، و در حقیقت، چون ایمیل آن‌ها را مسدود می‌کنند، آن‌ها از پیغام رسان ها برای عبور از فیلترینگ ایمیل ها استفاده می‌کنند. این طبیعت انسان است. با توجه به این حقیقت که اکثر مردم برنامه‌های پیام‌رسانی چندگانه در لب تاپ‌ها، تبلت ها و تلفن‌های همراه دارند، میبینیم که سطح حمله بسیار عظیم است."

برای اجتناب از نشت داده‌های غیر ضروری، ما به کاربران Android توصیه می‌کنیم که هرگز برنامه‌های کاربردی را از طرف ثالث دانلود نکنند و تنها از گوگل و فروشگاه های معتبر برای این منظور استفاده کنند.

جلوگیری از دسترسی نرم افزارهای گوشی اندروید به مانیتورینگ ارتباطات و ترافیک

آیا می دانید که هر برنامه ای که روی گوشی اندرویدی خود نصب کرده اید می تواند حتی بدون درخواست مجوز Takian.ir android pحساس ، فعالیت های شبکه را نظارت کند تا براحتی بتواند تشخیص دهد که سایر برنامه ها در گوشی شما چرا و چگونه به اینترنت متصل می شوند؟

بدیهی است، آنها نمیتوانند محتوای ترافیک شبکه را مشاهده کنند، اما به راحتی و بدون اطلاع شما می توانند تشخیص دهند که نرم افزار مورد نظر به کدام سرور متصل شده است. دانستن این اطلاعات میتواند برای سوء استفاده های بعدی و نقص حریم خصوصی شما مورد استفاده قرار گیرد، یطور مثال تشخیص اینکه کدام App یک برنامه مالی است و...

اما به نظر میرسد که گوگل قصد دارد مسئله حفظ حقوق حریم خصوصی را در نسخه بعدی سیستم عامل خود جدی تر گرفته و در ان نسخه محدودیت هایی را اعمال نماید.با استفاده از Android P، بر اساس تغییرات جدید اعمال شده در کدهای اندروید که به AOSP (Android Open Source Project) معروف هستند و اولین بار توسط Developers XDA مورد توجه قرار گرفته است، زین پس برنامه ها قادر نخواهند بود که سایر نرم افزارها را در هنگام دسترسی به اینترنت و نقل و انتقال دیتا، رصد نمایند.

.XDA Developers می نویسد: "یک نکته جدید در پروژه منبع باز اندروید ظاهر شده است تا شروعی باشد برای روند قفل کردن Proc/net که در کرنل حاوی اطلاعات زیادی از فعالیت های شبکه است. در حال حاضر هیچ محدودیتی در برنامه هایی که دسترسی به proc/net دارند اعمال نشده است، به این معنی که شما می توانید از اینجا (مخصوصا فایل های TCP و UDP) اطلاعات لازم برای تجزیه و تحلیل فعالیت شبکه خود را بخوانید. شما می توانید یک برنامه ترمینال را بر روی گوشی خود نصب کنید و وارد cat/proc/net/udp شوید برای دیدن اطلاعاتتان"

Takian.ir android p network activity

با این حال، تغییرات جدید اعمال شده بر قوانین SELinux از این پس Android P برنامه ها را از دسترسی به برخی از اطلاعات شبکه محدود می کند.تغییرات SELinux تنها برنامه های اختصاصی VPN را برای دسترسی به برخی از اطلاعات شبکه ، مجاز میداند، در حالی که سایر برنامه های Android برای دسترسی به این اطلاعات توسط سیستم عامل بررسی و مدیریت می شوند.

با این حال، باید توجه داشت که تغییرات جدید SELinux در حال ورود به عرصه هستند  برای برنامه های با استفاده از API سطح 28 در حال اجرا در Andorid P ، به این معنی که برنامه های کاربری با سطوح مختلف API قبل از سطح 28 تا سال 2019 به فعالیت های شبکه دسترسی خواهند داشت.چند ROM های سفارشی برای آندروید، مانند CopperheadOS، این تغییرات را سالها قبل انجام داده اند، و حریم خصوصی مناسب تری را برای کاربران خود فراهم نموده اند.

همانطور که توسعه دهندگان XDA اشاره کرده اند، این تغییر جدید معرفی شده به سیستم عامل Android به نظر می رسد بسیار کوچک است که کاربران به سختی متوجه خواهند شد، "اما پیامدهای حفظ حریم خصوصی کاربران عظیم خواهد بود."

راهکار جدید فریب کاربران اندروید برای دانلود نرم افزارهای حاوی بدافزار

یک متخصص امنیت Android هشدار می دهد که برخی از توسعه دهندگان برنامه های Android  با توسل به یک ترفند جدید، کاربران را فریب داده و انها را ترغیب به نصب نرم افزارهای خطرناک خود میکنند.

روش این افراد بدین گونه است که هنگام ثبت نام به عنوان یک توسعه دهنده در فروشگاه Google Play، به جای اسم واقعی خود از کلماتی مانند "1 million installs" یا "100.000.000 Downloads" و موارد مشابه استفاده میکنند.Takian.ir Android app popularity trick

فروشگاه گوگل بصورت پیشفرض، مبادی ورودی برنامه ها را با نمایش لوگو برنامه، نام، نام توسعه دهنده و رتبه آن لیست میکند. لذا با جایگزینی نام توسعه دهنده با تعداد دفعات نصب قلابی، برخی از توسعه دهندگان تلاش می کنند تا کاربران را گول بزنند تا فکر کنند که برنامه بسیار محبوب است و از این رو، تا حدودی امن است. اما در واقع، این نرم افزارها اصلا امن نیستند. براساس گزارش محققان ESET ، اکثر برنامه های کاربردی که از این روش استفاده میکنند ، عمدتاً ابزار تبلیغاتی بودند، اکثریت فقط پوسته خالی بودند و به هیچ وجه به جز برای نشان دادن تبلیغات در بالای برنامه های دیگر و یا روی صفحه نمایش کاربر هیچ خدمات دیگری را ارائه نمیدادند.

 

کارشناسان توضیح می دهند: "کلاهبرداری ساده و در عین حال موثر است، راهکارهایی برای گمراه کردن کاربران، به ویژه کسانی که برنامه های مبتنی بر محبوبیت را انتخاب می کنند." "در حالی که هیچ یک از این برنامه ها به طور کامل مخرب نیستند، این تکنیک ها می توانند به راحتی توسط نویسندگان بدافزار در آینده مورد سوء استفاده قرار بگیرند. خوشبختانه، ترفندها نیز ساده هستند، اگر می دانید بر روی چه چیزی باید تمرکز کنید."

نکاتی که باید هنگام نصب یک برنامه در ذهن داشته باشید:

* گوگل اطلاعات رسمی در مورد هر نرم افزار را در صفحه مرتبط با خود نرم افزار و در فیلد مشخصی نمایش میدهد و هرگز از تصاویر استفاده نمیکند.

* تعداد واقعی نصب مبتنی بر گوگل در قسمت "اطلاعات اضافی" در پایین صفحه فروشگاه Play Store در مورد هر برنامه قابل مشاهده است.

* اگر تعداد نصب واقعی مبتنی بر Google کوچک باشد، اما توسعه دهنده ادعایی بزرگتر داشته باشد در غیر این صورت، برنامه به وضوح مخرب است.

* فروشگاه Google Play علامت "Verified" ندارد، بنابراین باید شک کرد به توسعه دهندگانی که در لوگو یا نام برنامه خود از نماد های تایید استفاده میکنند.

* همیشه قبل از دانلود هر نرم افزار نظرات و بررسی های کاربران قبلی را مطالعه نمایید.

 

 

 

 

رمزنگاری اختصاصی و محرمانه پیام های دایرکت در توییتر

توییتر اعلام کرد که در حال تست رمزنگاری End-to-End در پیغام های Direct است. 

 به نقل از سایت هکرید، هرچند که سرعت تست این قابلیت بسیار حلزونی است اما توییتر معتقد است که این قابلیت بصورت کامل تر و تست شده تر اما دیرتر ارائه شود بجای اینکه هرگز ارائه نشود. Takian.ir twitter locked

از سال 2013 کارشناسان حدس میزدند که توییتر احتمالا بزودی رمزنگاری کاملی را بر روی پیغام های Direct اعمال میکند و این حدس بلاخره بعد از 5 سال در حال تحقق است.

جین مانچون وونگ، دانشجوی علوم رایانه ای در دانشگاه ماساچوست دارتموث، این ویژگی را "مکالمه راز" (Secret Conversation) نامگذاری کرده است. این ویژگی در آخرین نسخه بسته نرم افزاری Android برای توییتر ارائه شده است اما فقط برای افراد محدودی بصورت تستی قابل استفاده است.

رمز نگاری نهایی یا همان End-to-end encryption  به کاربران اجازه می دهد پیام ها را به گونه ای ارسال کنند که هیچ کس، حتی عامل FBI با حکم دولتی، هکر یا حتی خود توییتر نتواند انها را بخواند.

با این حال، به نظر میرسد که قابلیت گفتگوی مخفی در حال حاضر فقط برای تعداد کمی از کاربران برای آزمایش در دسترس است.بنابراین، اگر شما یکی از افراد خوش شانس هستید، میتوانید بصورت رمزشده End-to-End اقدام به رمزنگاری پیغام های دایرکت خود بنمایید. به نظر می رسد قابلیت "مکالمه راز" به کاربران توییتر اجازه می دهد با رمزگذاری پیام های ارسال شده و دریافتی بتوانند امنیت مکالمات خود را تقویت کنند.

نحوه ارسال پیام های رمزگذاری شده در پیغام های مستقیم توییتر

بر خلاف WhatsApp و iMessage اپل، همه مکالمات شما در Twitter DM به طور پیش فرض رمزگذاری نخواهند شدبلکه شما خودتان تصمیم میگیرید که کدام یک از پیغام های شما توسط این قابلیت رمز شود، همانند شروع یک چت محرمانه در مسنجر فیس بوک یا در تلگرام.

Takian.ir twitter encrypted direct messages

Takian.ir twitter endtoend encryption

همانطور که در تصویر به اشتراک گذاشته شوده توسط جین مانچون وونگ مشاهده میکنید، نیاز به پیروی از مراحل زیر است تا یک "مکالمه راز" در توییتر ( البته بعد از اینکه این قابلیت در دسترس همه قرار بگیرد) را اجرا کنید:

    1 - برنامه توییتر را بر روی دستگاه Android خود باز کنید.
    2 - 
یک مکالمه موجود را باز کنید یا یک مکالمه دیجیتالی جدید را با شخص دیگری که میخواهید به صورت مخفی گپ بزنید شروع کنید.
    3 - 
آیکن Information در گوشه سمت راست گوشی خود را لمس کنید.
    4 - 
"Start a secret text message" را انتخاب کنید و یک پنجره جدید باز می شود که در آن می توانید پیام های رمز شده را ارسال کنید.

لازم به ذکر است که زیرساخت فعلی توییتر حریم خصوصی کلیدهای رمزنگاری افراد را برای رمزگذاری / رمزگشایی پیام ها ارائه نمی دهد، بنابراین ویژگی های مخفی برای نسخه دسک تاپ و وب توییتر در دسترس نخواهد بود و تنها در نسخ برنامه های تلفن همراه (Android / iOS) میتوانید به آسنی به این قابلیت دسترسی داشته باشید درست مانند WhatsApp ، Facebook Messenger و Telegram.

علاوه بر قابلیت "مکالمه راز"، توییتر بر روی حالت "Data Saver" نیز در حال کار کردن است، که با فعال سازی آن، سرعت ارتباطی شما تا سطح بالایی افزایش می یابد، زیرا با غیرفعال کردن پخش ویدئو بصورت خودکار و همچنین جلوگیری از بارگذازی تصاویر سنگین بصورت اتوماتیک، موجب صرفه جویی در بخشی از پهنای باند شما میشود.