حساب کاربری ندارید؟ ثبت نام کنید

حذف وی پی ان SuperVPN از گوگل پلی به دلیل نواقص امنیتی

نوشته

4 سال قبل | 36 دیدگاه | امنیت، نرم افزار

بدافزارهای زیادی از فروشگاه‌های نرم افزاری اندورید و iOS حذف می شوند اما بنابه‌گسترده بودن تعداد کاربران آن ها می توان گفت که اهمیت حذف آن ها بیشتر می شود. امروز شاد حذف وی پی ان SuperVPN از گوگل پلی به دلیل نواقص امنیتی هستیم.

حذف وی پی ان SuperVPN از گوگل پلی

برنامه SuperVPN یک برنامه موفق اندرویدی رایگان است که از ۴ سال پیش با ۱۰ هزار نصب شروع به فعالیت کرد و هم اکنون بیش از ۱۰۰ میلیون نصب فعال دارد. گوگل تایید کرده است که این برنامه با بیش از ۱۰۰ میلیون نصب فعال دارای آسیب‌پذیری است که منجر به شنود همه‌ ترافیک کاربر می‌شود.

با بررسی این آسیب‌پذیری که توسط محققان امنیتی در VPNpro کشف شده است، مشخص شد که:

با تحلیل بیشتر مشخص شد که این برنامه به هاست‌های متعدد متصل می‌شود و در یکی از این هاست‌ها payload مشکوکی با اتصال نا امن HTTP از برنامه به هاست ارسال می‌شود. این payload حاوی داده‌های رمزنگاری شده بود که در پاسخ، payload مشابه‌ دریافت می‌کرد.

این payload حاوی کلیدهای مورد نیاز برای رمزگشایی داده بود که با رمزگشایی آن، اطلاعات حساس سرور شامل گواهینامه‌های سرور و اعتبارنامه‌ها که سرور VPN برای احراز هویت احتیاج داشت به دست آمد.

حذف وی پی ان SuperVPN از گوگل پلی

حذف وی پی ان SuperVPN از گوگل پلی

محققان با جایگذاری اطلاعات سرور SuperVpn با سرور آزمون خود، به نتایج زیر دست یافتند.

  1. ۱- اتصالاتی که از HTTP نا امن و آشکار استفاده می‌کنند ممنوع نیستند: ترافیک HTTP رمزنگاری نمی‌شوند در نتیجه هر فردی با رهگیری ترافیک قادر به شنود ارتباطات کاربر خواهد بود.
  2. ۲- Payloadهای ارسالی مبهم سازی (obfuscated) شده‌اند: اطلاعات ارسالی از برنامه (کاربر) و سرور رمزنگاری شده است.
  3. ۳- در برنامه کلیدهای رمزنگاری hardcode شده یافت شد: متاسفانه با وجود رمزنگاری payloadهای مذکور، کلیدهای موردنیاز برای رمزگشایی در خود برنامه موجود است.
  4. ۴- Payloadها حاوی اعتبارنامه‌های EAP هستند: VPNها از اعتبارنامه‌های EAP برای جلوگیری از اتصالات خارج از برنامه به سرور خود استفاده می‌کنند. اما با ارسال اعتبارنامه‌های EAP در payloadهایی که رمزنگاری نشده‌اند یا رمزنگاری ضعیفی دارند استفاده از اعتبارنامه‌های EAP عملا بی‌فایده خواهد بود.

با استفاده از این آسیب‌پذیری علاوه بر امکان حمله مرد میانی و شنود ترافیک، مهاجم می‌تواند با تغییر جزییات اتصال VPN، کاربر را به جای اتصال به سرور VPN اصلی ‌مجبور به اتصال به سرور مخرب خود کند.

برنامه Supervpn پیش‌تر در سال ۲۰۱۶ در مقاله‌ای پروهشی به عنوان برنامه مخرب شناخته شده بود. این برنامه به تازگی از پلی استور گوگل حذف شده است. شما از این VPN استفاده می کردید؟ حتما به عزیزان خود بگویید که آن را از گوشی خود پاک کنند.

اشتراک در
اطلاع از
36 Comments
قدیمی‌ترین
تازه‌ترین بیشترین رأی
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
m.b

http://uupload.ir/files/12eh_b4a56101gy1ged5my5enej20u0134n1x.jpg

طلایی عسلی… خیلی زیباست… 🙂

smartiz

اخبار جدید لطفا😬

The Destroyer

😂😂😂
اتفاقا منم مدت هاست اخبار جدید به شیوه مصطفی رو نشنیدم… (در واقع ندیدم)
منم موافقم

m.b

خستم یکم… 😅 اخبار کم شده چون بین دو نیکه هستیم… 😅 اما چشم… 🙏

m.b

*نیمه

The Destroyer

ممنون🙏

m.b

فکر نکن یادم رفته ها…
یه خبر از میکس بهت بدهکارم منتهی هیچ خبری ازش نیست… 😅

smartiz

مرسی⁦☺️⁩

The Destroyer

.b
من خودم یادم رفته بود😂
اما آره این افشاگرا هیچی در موردش نمی‌گن… فقط اون یارو یه بار گفته بود هر کی پو.. دوست داره میکسم دوست داره یه بارم به صورت غیر مستقیم گفت میکس بین ۵۰۰۰ تا ۷۰۰۰ یوان قیمت داره… همین

m.b

خیلی بی ادبه… 🤦‍♂️😅
آره با جدیت دنبال خبرای cc10 یا میکس هستم… اما خبرای موثقی نیست… اکثراً حدس و گمان کاربراست…

Amin

خب کمتر ناظر و میبردی کلاس قرآن که انقدر خسته نمیشدی مجبوری؟ 😂

m.b

🤦‍♂️ وات ایز زیس شاکینگ فت… 🙆‍♂️

m.b

https://toranji.ir/?p=1073659
داداش این پست لطفاً برو از گوشیت براش بگو میخواد بخره…

smartiz

اوکی

m.b

دمت گرم… 🙏

Mahdi

سفیدش رو بیشتر دوست دارم

m.b

ولی من عاشق طلاییش شدم… کلا طلایی و نقره‌ای براق رو خیلی دوست دارم…

AAAA_.reza._AAAA

بسیار زیباست

m.b

آره واقعاً از همون شایعاتش گفتم عالی کار کرده در طراحی… حتی اعتراض به طراحی تکراری برند ها هم کرده بودم، ولوت رو استثنا کردم… واقعاً با سلیقه طراحی کرده…

AAAA_.reza._AAAA

اره

طراحیش خیلی ساده و مینیمالی و در عین حال زیباست

Mohammadr

شرکت آمازون هم مثله اینکه از اطلاعات کاربران سو استفاده کرده و احتمال احضار بزوس وجود داره…
یکی دیروز حرف قشنگی زد
همه شرکتا به نوعی دارن جاسوسی میکنن،
ولی کم کم اخبارش درز میکنه….
قبلنا سامسونگ و اپل و گوگل
بعدش فیسبوک و هواوی
الانم شیائومی و آمازون..

Mohammadr

مثله اینکه بزوس به کنگره آمریکا احضار شده و تهدید شده که دادگاهیش میکنن…

http://uupload.ir/files/p7il_screenshot_20200502_171437_com.instagram.android.jpg

The Destroyer

اصلا اصلش همینه…
همه شرکتا این کارو میکنن اما نشریات میان اینو به نوعی بازتاب میدن که همه بیان بگن آی خاک بر سر این شرکت که اطلاعات کاربراشو میدزده و فلان و بیسار… در صورتی که واقعیت اینه که شاید اگر این جمع‌آوری داده توسط شرکت‌ها صورت نمی‌گرفت هیچ وقت سیری یا گوگل اسیستنت به این خوبی نمیشدن یا هیچ وقت نتایج جستجوی گوگل به این خوبی نبود یا…

البته باز هم تکرار میکنم که این جمع‌آوری اطلاعات تا وقتی خوبه که در راستای بهبود تجربه کاربری صورت بگیره اما وقتی از خط قرمزها رد بشه دیگه باید جلوشو گرفت مثل جریمه‌ای که فیسبوک برای فروش اطلاعات کاربرانش پرداخت کرد…

The Destroyer

جی ال ایکس شاهین ۲…
هر کیم مخالفه پا شه از اینترنت خداحافظی کنه

Mahdi

یعنی باور کن همین تو ذهنم بود 😂😂😘👌🏻👌🏻👌🏻

AAAA_.reza._AAAA

یه گوشی با کایرین ۷۱۰ فقط کم داره این تصویر😂👌

Alireza3000

فقط گلکسی A01

Milad7

اکثر وی پی ان های رایگان ناامن هستن….

Milad7

من از پرایوت تونل استفاده میکنم و راضی هم هستم 🙂

mohammad

فقط 1.1.1.1 👌

online_wireless

گوگل پلی پر شده از برنامه هایی که از لحاظ امنیت مشکل دارن و یه نقطه ضعف خیلی بزرگیه برای سیستم عامل اندروید

رپورتاژ آگهی پربازده
رپورتاژ آگهی پربازده
سینا عطایی
حال روزگارت به خودت بستگی داره :)