۱۳۹۸ اسفند ۲۰, سه‌شنبه

چرا روبیکا برای امنیت کاربران "خیلی" خطرناک است


روبیکا به اطلاعات شما دسترسی نامحدود دارد!
 کافی است اپلیکیشن روبیکا را نصب کنید، تا به دوربین، حافظه، میکروفون، مخاطبین و موقعیت مکانی شما دسترسی کامل داشته باشد! سایت معتبر (immuniweb) که در زمینه تحلیل امنیتی و فنی اپلیکیشن‌ها فعال است یک بررسی کامل فنی از روبیکا دارد که در لینک زیر قابل دسترس است، دراینجا به چند تا از هولناک‌ترین‌هایش اشاره میکنیم!

یک : دسترسی نامحدود به همه منابع اطلاعاتی شما بدون آنکه اپ به آن نیاز داشته باشد!
دسترسی‌های اپلیکیشن روبیکا
 هیچ منبع اطلاعاتی در گوشی شما وجود ندارد که روبیکا به آن دسترسی نداشته باشد! دسترسی‌هایی که هیچ دلیل منطقی هم ندارند، می‌خواهم خوش‌بین باشم اما حتی نیمه احمق مغزم میگوید این احمقانه است!
دو : کلید‌های API های استفاده شده، هاردکد هستند!
ببینید این فقط از فنی نبودن تیم روبیکا است! اما این اشتباه آن‌را برای هکرها تبدیل به یک طعمه خوب میکند! آن هم اپلیکیشنی که کلی اطلاعات از شما دارد!
توضیح : در حداقل‌ترین حد برنامه‌نویسی حرفه‌ای اطلاعات حساس مانند رمزها، آدرس‌ها، کلیدها نباید مستقیما در کد برنامه قرار بگیرند! بلکه باید بصورت هَش شده از یک آدرس واسط با یک پروتکل امن دریافت شوند تا ریسک اینکه هکرها به این اطلاعات حساس دست پیدا‌کنند کمتر شود.
 بعضی اطلاعات حساس بصورت مستقیم در کد روبیکا
سه : روبیکا با پروتکل HTTP کار می‌کند! این دیگر فاجعه است!
آیلین یک برنامه‌نویس تازه کاره! بسیار هم ناشیه، تازه یک هفتس میدونه برنامه نویسی چیه! اما آیلین هم میدونه HTTPS باید استفاده کنه نه HTTP
ببینید این دیگر یک نکته فنی پیچیده که فقط تیم‌های امنیتی چند میلیون دلاری از آن سر‌دربیاورند نیست! فقط با چند کلیک ساده! می‌توان از پروتکل HTTP به HTTPS ارتقا یافت! فرق امنیت این دو پروتکل از زمین تا آسمان است، در پروتکل HTTPS اطلاعات بصورت رمزنگاری شده بین شما و سرور جابه‌جا می‌شود پس اگر کسی در بین شما و سرور قرار بگیرد یک مشت اطلاعات رمزنگاری شده که به هیچ دردی نمی‌خورد میگیرد اما وقتی HTTP استفاده شود، سنگ بزرگ از جلوی پای هکر برداشته شده است! همه اطلاعات بدون رمز نگاری سرتاسری ارسال می‌شوند!
 فقط چند نمونه‌ از استفاده از پروتکل نا‌امن در روبیکا
چهار : صفحات وب-ویو (Web-View) در روبیکا واقعا غیرقابل اعتماد هستند.
خیلی از داده‌هایی که روبیکا به شما نشان می‌دهد از طریق وب-ویو است، یعنی محتوای یک صفحه وب را از یک سرور میگیرد و مستقیما به شما نشان می‌دهد، مانند زمانی که به درگاه پرداخت هدایت می‌شوید در اصل اطلاعات درگاه را از سرور‌ بانک می‌گیرد و درون اپلیکیشن به شما نشان می‌دهد، تا اینجای کار همه چیز عادی است اما بصورت پیش‌فرض صفحات وب-ویو اجازه دست‌کاری در محتوای خودشان از طریق جاوا-اسکریپت را نمی‌دهند، فرض کنید درگاه بخواهد به شما نشان دهد که مبلغ پرداخت آنلاین یک ملیون تومن است و یک هکر با دستکاری اطلاعات صفحه به شما هزار تومن را نشان دهد!
 امکان

نتیجه گیری : روبیکا را نصب نکنید! 
اینکه شما اطلاعات پرداختی خود را در اختیار کسی جز درگاه-بانک بگذارید خودش کافی است تا روبیکا را پاک کنید!
چون معلوم نیست واقعا در پشت این اپلیکیشن چه کسی قرار دارد! اینکه هر روز به سرویس‌های خود می‌افزایند اما تکلیفشان در برابر سیاست‌های حریم خصوصی هرکدام از سرویس‌ها جداگانه مشخص نیست،
 فقط یک نگاه به صفحه حریم‌ِخصوصی‌ِروبیکا بیاندازید! برای یک مگا اپلیکیشن به این بزرگی با این همه دسترسی و نقص فنی! فقط همین چند خط کلی گویی همه حقوق شما را مشخص می‌کند!


ارسال شده توسط در

هیچ نظری موجود نیست:

ارسال یک نظر

اشتراک در: نظرات پیام (Atom)