1 × 2 =

حساب کاربری ندارید؟ ثبت نام کنید

حذف وی پی ان SuperVPN از گوگل پلی به دلیل نواقص امنیتی

سینا عطایی

نوشته

1 ماه قبل | 36 دیدگاه | امنیت ، نرم افزار

بدافزارهای زیادی از فروشگاه‌های نرم افزاری اندورید و iOS حذف می شوند اما بنابه‌گسترده بودن تعداد کاربران آن ها می توان گفت که اهمیت حذف آن ها بیشتر می شود. امروز شاد حذف وی پی ان SuperVPN از گوگل پلی به دلیل نواقص امنیتی هستیم.

حذف وی پی ان SuperVPN از گوگل پلی

برنامه SuperVPN یک برنامه موفق اندرویدی رایگان است که از ۴ سال پیش با ۱۰ هزار نصب شروع به فعالیت کرد و هم اکنون بیش از ۱۰۰ میلیون نصب فعال دارد. گوگل تایید کرده است که این برنامه با بیش از ۱۰۰ میلیون نصب فعال دارای آسیب‌پذیری است که منجر به شنود همه‌ ترافیک کاربر می‌شود.

با بررسی این آسیب‌پذیری که توسط محققان امنیتی در VPNpro کشف شده است، مشخص شد که:

با تحلیل بیشتر مشخص شد که این برنامه به هاست‌های متعدد متصل می‌شود و در یکی از این هاست‌ها payload مشکوکی با اتصال نا امن HTTP از برنامه به هاست ارسال می‌شود. این payload حاوی داده‌های رمزنگاری شده بود که در پاسخ، payload مشابه‌ دریافت می‌کرد.

این payload حاوی کلیدهای مورد نیاز برای رمزگشایی داده بود که با رمزگشایی آن، اطلاعات حساس سرور شامل گواهینامه‌های سرور و اعتبارنامه‌ها که سرور VPN برای احراز هویت احتیاج داشت به دست آمد.

حذف وی پی ان SuperVPN از گوگل پلی

حذف وی پی ان SuperVPN از گوگل پلی

محققان با جایگذاری اطلاعات سرور SuperVpn با سرور آزمون خود، به نتایج زیر دست یافتند.

  1. ۱- اتصالاتی که از HTTP نا امن و آشکار استفاده می‌کنند ممنوع نیستند: ترافیک HTTP رمزنگاری نمی‌شوند در نتیجه هر فردی با رهگیری ترافیک قادر به شنود ارتباطات کاربر خواهد بود.
  2. ۲- Payloadهای ارسالی مبهم سازی (obfuscated) شده‌اند: اطلاعات ارسالی از برنامه (کاربر) و سرور رمزنگاری شده است.
  3. ۳- در برنامه کلیدهای رمزنگاری hardcode شده یافت شد: متاسفانه با وجود رمزنگاری payloadهای مذکور، کلیدهای موردنیاز برای رمزگشایی در خود برنامه موجود است.
  4. ۴- Payloadها حاوی اعتبارنامه‌های EAP هستند: VPNها از اعتبارنامه‌های EAP برای جلوگیری از اتصالات خارج از برنامه به سرور خود استفاده می‌کنند. اما با ارسال اعتبارنامه‌های EAP در payloadهایی که رمزنگاری نشده‌اند یا رمزنگاری ضعیفی دارند استفاده از اعتبارنامه‌های EAP عملا بی‌فایده خواهد بود.

با استفاده از این آسیب‌پذیری علاوه بر امکان حمله مرد میانی و شنود ترافیک، مهاجم می‌تواند با تغییر جزییات اتصال VPN، کاربر را به جای اتصال به سرور VPN اصلی ‌مجبور به اتصال به سرور مخرب خود کند.

برنامه Supervpn پیش‌تر در سال ۲۰۱۶ در مقاله‌ای پروهشی به عنوان برنامه مخرب شناخته شده بود. این برنامه به تازگی از پلی استور گوگل حذف شده است. شما از این VPN استفاده می کردید؟ حتما به عزیزان خود بگویید که آن را از گوشی خود پاک کنند.

دیدگاه خودتان را بنویسید

ابتدا وارد شوید تا بتوانید دیدگاهی ارسال کنید

آخرین دیدگاه ها

  1. m.bm.b
    ترنج لاگژری



    10



    2

    http://uupload.ir/files/12eh_b4a56101gy1ged5my5enej20u0134n1x.jpg

    طلایی عسلی… خیلی زیباست… 🙂

  2. The real winner in politics is a person who doing checkmate without the minister!USA or China?
    The real winner in politics is a person who doing checkmate without the minister!USA or China?K@ren
    ترنجِ رسیده



    1



    3

    #Meizu
    هر روز داره خبرهای جدیدی پیرامون میزو 17 منتشر میشه…
    میزو 17 مجهز به یه نوع موتور هپتیک خطی افقی موسوم به mEngine هست…
    Meizu 17 is warming up today, equipped with mEngine 3.0 horizontal linear motor.
    اون “m” از حرف اول نام meizu گرفته شده.
    معرفی 6 روز دیگه
    http://uupload.ir/files/p22y_img_20200502_165824.jpg

  3. MohammadrMohammadr
    ترنجِ نرسیده



    4



    2

    شرکت آمازون هم مثله اینکه از اطلاعات کاربران سو استفاده کرده و احتمال احضار بزوس وجود داره…
    یکی دیروز حرف قشنگی زد
    همه شرکتا به نوعی دارن جاسوسی میکنن،
    ولی کم کم اخبارش درز میکنه….
    قبلنا سامسونگ و اپل و گوگل
    بعدش فیسبوک و هواوی
    الانم شیائومی و آمازون..

    • MohammadrMohammadr
      ترنجِ نرسیده



      4



      1

      مثله اینکه بزوس به کنگره آمریکا احضار شده و تهدید شده که دادگاهیش میکنن…

      http://uupload.ir/files/p7il_screenshot_20200502_171437_com.instagram.android.jpg

    • The Destroyer
      The DestroyerThe Destroyer
      ترنجِ خیلی رسیده



      2



      2

      اصلا اصلش همینه…
      همه شرکتا این کارو میکنن اما نشریات میان اینو به نوعی بازتاب میدن که همه بیان بگن آی خاک بر سر این شرکت که اطلاعات کاربراشو میدزده و فلان و بیسار… در صورتی که واقعیت اینه که شاید اگر این جمع‌آوری داده توسط شرکت‌ها صورت نمی‌گرفت هیچ وقت سیری یا گوگل اسیستنت به این خوبی نمیشدن یا هیچ وقت نتایج جستجوی گوگل به این خوبی نبود یا…

      البته باز هم تکرار میکنم که این جمع‌آوری اطلاعات تا وقتی خوبه که در راستای بهبود تجربه کاربری صورت بگیره اما وقتی از خط قرمزها رد بشه دیگه باید جلوشو گرفت مثل جریمه‌ای که فیسبوک برای فروش اطلاعات کاربرانش پرداخت کرد…

  4. The real winner in politics is a person who doing checkmate without the minister!USA or China?
    The real winner in politics is a person who doing checkmate without the minister!USA or China?K@ren
    ترنجِ رسیده



    2



    0

    کلکسیونی از بهترین گوشی ها… 👌
    ✔️http://uupload.ir/files/p6lt_img_20200502_170534.jpg

  5. Milad7
    Milad7milad7ir
    ترنج لاگژری



    3



    2

    اکثر وی پی ان های رایگان ناامن هستن….

  6. Milad7
    Milad7milad7ir
    ترنج لاگژری



    1



    1

    من از پرایوت تونل استفاده میکنم و راضی هم هستم 🙂

  7. mohammadmohammad1381
    ترنجِ نرسیده



    4



    4

    فقط 1.1.1.1 👌

  8. online_wirelessonline_wireless
    ترنجِ رسیده



    1



    0

    گوگل پلی پر شده از برنامه هایی که از لحاظ امنیت مشکل دارن و یه نقطه ضعف خیلی بزرگیه برای سیستم عامل اندروید

10 کاربر برتر
  1. 1# ahmad - 12,489 ترنج
  2. 2# Milad7 - 11,832 ترنج
  3. 3# m.b - 8,794 ترنج
  4. 4# Sajad - 8,516 ترنج
  5. 5# Peiman - 8,025 ترنج
  6. 6# _V_ - 7,934 ترنج
  7. 7# علی شیخ زاده - 7,481 ترنج
  8. 8# Amir galaxy - 6,824 ترنج
  9. 9# The Destroyer - 6,457 ترنج
  10. 10# نیما عرفانی - 6,010 ترنج
کانال تلگرام ترنجی