آسیب‌پذیری‌ِ زوم و جنگ بین هکرها و توسعه‌دهندگان

20 شهریور 1401 آسیب‌پذیری‌ِ زوم و جنگ بین هکرها و توسعه‌دهندگان

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مارس 2020 در بحبوحه‌ی دورکار شدن افراد، آسیب‌پذیری در نصب‌گر Zoom–این ابزار ارتباط از راه دور برتر جهان-کشف شد. طی این آسیب‌پذیری روی کامپیوترهای اپل اجرای کد دلخواه انجام می‌شد. زوم این آسیب‌پذیر را رفع کرد اما نه کامل! برویم به آگست 2022 که حفره امنیتی مشابهی (از حیث هم لوکیشن و هم پیامدهای اکسپلویت) کشف شد. در این مقاله قرار است مورد دوم را بررسی کنیم و هدفمان این است که توضیح دهیم چرا حفره‌های امنیتی در نرم‌افزاراها گاهاً در یک مکان ثابت مدام اتفاق می‌افتند و تکرار می‌شوند. در انتهای مقاله نیز بر حسب عادت همیشگی راهکارهای امنیتی خدمتتان ارائه داده‌ایم. با ما همراه بمانید.

این جدیدترین آسیب‌پذیری به چه شکل است؟

مشکل جدید در کلاینت کنفرانس ویدئویی Zoom توسط محقق مشهور Patrick Wardle در DEF CON 30 در اوایل ماه آگست سال جاری برجسته شد. به طور خلاصه، تعدادی از اشکالات در سیستم آپدیت خودکار برای مشتری Apple Zoom یافت شد. این اشکالات، در تئوری، به دست آوردن به اصطلاح حقوق ابرکاربر را ممکن می‌کند، که به مهاجم احتمالی اجازه می‌دهد هر کاری را که می‌خواهد در کامپیوتر میزبان انجام دهد. با این حال، برای سوء استفاده از این آسیب‌پذیری، مهاجم باید قبلاً به کامپیوتر دسترسی فیزیکی داشته باشد، البته بدون حقوق ویژه. اما این یک سناریوی کاملاً غیر واقعی نیست: برای مثال، کاربر ممکن است برای ناهار برود و فراموش کند کامپیوتر خود را قفل کند. از نظر تئوری، این آسیب‌پذیری می‌تواند توسط بدافزار نیز مورد سوء استفاده قرار گیرد، که در غیر این صورت آسیب جدی به کاربر وارد نمی‌کند.

جزئیات بیشتر در این باره

تحویل به موقع و نصب آسان آپدیت‌ها از الزامات مهم هر قطعه نرم‌افزار مدرن محسوب می‌شود. در حالت ایده‌آل، فیکس باگ‌ها باید بدون اینکه حتی کاربر متوجه شود انجام گیرد اما این همیشه هم امکان‌پذیر نیست. برای تکمیل آپدیت باید برنامه ریستارت شود، ری‌لاگین شود یا حتی ریبوت شود. همه ما از دست پیام‌های مزاحم که مدام پاپ‌آپ می‌شوند خسته می‌شویم؛ نوتیفیکیشن‌هایی که مدام گوشزد می‌کنند باید برنامه‌ای، سیستم عاملی، اسمارت‌فون، تبلت یا سفت‌افزاری را به روز کنیم. اما این کار حیاتی است: آپدیت‌ها حفره‌های امنیتی را که می‌توانند خسارت ایجاد کنند می‌بندند. در برخی موارد حاد و جدی حتی نیاز است فوری نرم‌افزارهای آسیب‌پذیر را از گزند حملات سایبری مصون دارید. روش استاندارد آپدیت یک اپ مک‌ااس با نصب اولیه‌اش فرقی ندارد: دانلود نسخه جدید، اجرای فایل و وارد کردن پسورد کاربری. زوم سعی داشت این روند را آسان سازد:

کلاینت به سرور دسترسی پیدا می‌کند، نسخه جدید را دانلود و سپس آن، بدون نیاز به وارد کردن رمز عبور توسط کاربر، به تنهایی نصب می‌شود. متاسفانه این فرآیند برقراری ارتباط با سرور و سپس دانلود و نصب آپدیت همیشه به درستی اجرا نمی‌شود. ده سال پیش، دسترسی به سرورها بدون رمزگذاری داده‌ها یک روش معمول بود که به مهاجم بالقوه اجازه می‌داد فایل آپدیت را براحتی با بدافزار جایگزین کند. رمزگذاری پیاده‌سازی شد و این کار را پیچیده‌تر کرد، اما همچنان می‌توان فایل را پس از دانلود، زمانی که قبلاً روی دیسک ذخیره شده اما هنوز نصب نشده است، جایگزین کرد. در آخرین (در اواخر سال گذشته، زمانی که پاتریک تحقیقات خود را آغاز کرد) نسخه زوم، به نظر می‌رسید همه چیز خوب است. مشتری از طریق یک کانال امن به سرور به روز رسانی ویژه دسترسی پیدا می‌کند، فایل را دانلود نموده صحت آن را تأیید می کند (بررسی می‌کند که توسط گواهی فروشنده امضا شده است) و آن را نصب می‌کند. برای نصب، SW از سیستم، حقوق ابرکاربر موقت را درخواست می کند، اما به گونه‌ای که کاربر نیازی به وارد کردن رمز عبور نداشته باشد.

امضای دیجیتال بسیار مهم است. از اینها گذشته، این برنامه در کامپیوتر کاربر از گوشه‌ای از جهان اینترنت دانلود شده و با بالاترین مزیت‌ها اجرا می‌گردد. بنابراین باید مطمئن شوید برنامه‌ برنامه‌ای درست باشد. اسپوف یا جع ساده فایل دانلود شده کار نخواهد کرد: همانطور که در اسلاید بالای ارائه‌ی پاتریک مشاهده می‌کنید، -جایگزینی نتایج فایل در پیام خطا- آپدیت جعلی امضای دیجیتال ندارد و برای همین خیلی سخت می‌شود آن را اسپوف کرد. افسوس، پروسه اعتبارسنجی امضای دیجیتال نیز ناقص پیش رفت. این کار با اجرای ابزار سیستم اجرا شد. این نشان دهنده پارامترهای امضای دیجیتال آپدیت دانلودشده از جمله خطی که نشانگر این باشد شرکت گواهی را دریافت کرده است:

Zoom Video Communications, Inc. Developer ID Certification Authority Apple Root CA

خروجی این ابزار پردازش شد و اگر این خط وجود داشت، نصب کلید می‌خورد. مشکل این بود که نام فایل هم در خروجی نمایش داده شده بود. پس به لحاظ تئوری مهاجم می‌توانست یک آپدیت مخرب با همین نام درست کند (به جای استاندارد ZoomUpdate.pkg از Zoom Video Communications, Inc. Developer ID Certification Authority Apple Root CA.pkg استفاده کند). و همین کافی می‌بود برای فریب رویه اعتبارسنجی: خط لازمه که حضور دارد پس فایل باید قانونی باشد! از این رو، حمله می‌توانست بدین شکل باشد: رویه اعتبارسنجی آپدیت آغاز می‌شود (انجامش چندان هم سخت نیست)، سپس آپدیت قانونی دانلود و با ابدافزار جایش عوض می‌شود؛ سپس برای فریب پروسه اعتبارسنجی گواهی از نو نامگذاری می‌شود. فایل مخرب با مزایای سیستم اجرا شده و حالا کامپیوتر هک شده است! اما در 20 دسامبر 2021 آپدیت زوم منتشر شد که به این بردار حمله پایان داد. تغییر، ساده بود: نامگذاری مجدد فایل بعد از دانلود اجباری شد. اما پاتریک واردل توانسته بود حمله را نیز اصلاح کند: آپگرید کلاینت به نسخه‌ای قدیمی‌تر! و جالب است این راهکار جواب هم داد: آپدیت قدیمی گواهی دیجیتال قانونی داشت و این نسخه در طول نصب چک نشده بود.

اهمیت کار در کجاست؟

این پژوهش پاتریک واردل نشان می‌دهد چقدر مهم است که تحویل نصب آپدیت‌ها با امنیت کامل انجام شود. افزون بر این، داستان این باگ واضحاً نشان می‌دهد چطور توسعه‌دهندگان نرم‌افزار اغلب سعی دارند با تغییرات ساده مشکلی را حل و فصل کنند بدون آنکه آن مشکل را با جزئیات درک کنند. ابتدا (حتی پیش از اینکه واردل مشکل را به زوم گزارش دهد) –در دسامبر 2021- آن‌ها ساده‌ترین نسخه حمله را با استفاده از جایگزینی جزئی فایل و دور زدن اعتبارسنجی گواهی شکست دادند. بعد از گزارش آسیب‌پذیری، در آوریل 2022 آن‌ها گزینه downgrade را بستند –منظورمان همان نصب نسخه قدیمی‌تر است. این نسخه در بخش مکانیزم تحویل آپدیت نسخه‌ی آسیب‌پذیرتری از زوم محسوب می‌شد.

نبرد بین هکرها و توسعه‌دهندگان

وقتی کسی گزارش پاتریک واردل را بخواند می‌ماند که چرا اصلاً باید ماجرا چنین باشد. چطور چنین آسیب‌پذیری‌های بچه‌گانه‌ای باید در بخش‌های مهم یک نرم‌افزار وجود داشته باشند؟ و چرا حتی بعد از گزارش مشکل آن‌ها هشت ماه بعد آسیب‌پذیری را رفع کردند (درست طی سومین تلاششان)! اینکه فقط توسعه‌دهندگان را به باد انتقاد بگیریم روا نیست. در همه برنامه‌ها، باگ‌ها و خطا گاهاً سر وکله‌شان پیدا می‌شود. اگر همه برنامه‌نویس‌ها اشتباه می‌کنند پس بدگویی ازشان کاری را پیش نمی‌برد: آن‌ها تنها توسعه‌دهندگان روی زمین هستند. شاید دلیل این است که هکرهای کلاه سفید (که یافته‌های خود را به بردار گزارش می‌دهند) و مجرمان سایبری (که برای حمله به کاربران و سود بردن دست به اکسپلویت حفره‌های امنیتی می‌زنند) در مقایسه با توسعه‌دهندگان نرم‌افزار اولویت‌های متفاوتی داشته باشند.

وقتی شما برنامه‌ای را توسعه می‌دهید مهم است که صدها کار مختلف را درست انجام دهد. پس اولویت شما می‌شود راحت کردن کار کاربر که این یعنی –در مورد زوم- کیفیت ارتباط‌گیری بالا و سازگاری با سیستم عامل‌های مختلف و نیز هزاران دستگاه جدید و قدیمی. این درحالیست که همه آنچه یک هکر نیاز دارد یافتن باگی است که بشود از آن برای مقاصد شرورانه استفاده کرد. حال تصور کنید کسی به شما در مورد یک آسیب‌پذیر اطلاع داده باشد: بله شما باید آن را پچ کنید اما بدون خراب شدن سیستم ظرافت‌کاری‌شده‌ی نرم‌افزار کلاین-سرور. باید با هزاران تنظیمات مختلف آن را تست کنید. طبیعتاً توسعه‌دهنده می‌خواهد با کمترین میزان دستکاری و تغییر دست به حل مشکل بزند و این‌ها اغلب تازه کافی هم نخواهد بود:

برنامه‌ها با هر بار پچ به طور فزاینده‌ای ایمن‌تر می‌شوند. نمی‌شود همه مشکلات را حل کرد و اپی ساخت تماماً ایده‌آل مگر اینکه بخواهیم از ابتدا اپی را بسازیم. اما برخی عناصر حیاتی را باید به بهترین روش حفاظت کرد و آپدیت سیستم دلیوری قطعاً یکی از همان‌هاست. ما کاربران باید بتوانیم به برنامه‌ای که روی کامپیوتر خود نصب می‌کنیم اعتماد داشته باشیم. داستان آسیب‌پذیری زوم نمونه مثبتی است از همکاری یک توسعه‌دهنده و یک محقق مستقل برای حل یک مشکل. این آشکارا نشان می‌دهد توسعه‌دهندگان مسئولیت‌پذیرند. مطلب را چنین جمع‌بندی کنیم که: بدافزارها اغلب در طول اولین نصب نرم‌افزار به کامپیوتر ما رخنه می‌کنند. از این رو، مهم است که چک کنید ببینید آیا ابزارها از منابع رسمی دانلود می‌شود یا نه. همینطور پیشنهاد می‌دهیم حتی‌الامکان از فروشگاه‌های اپ استفاده کنید و به هیچ‌وجه از وبسایت‌های مشکوک آن‌ها را دریافت نکنید. در غیر این صورت احتمال این وجود خواهد داشت که داده‌هایتان از طریق متودهای هک بسیار ساده سرقت شود- بدون اینکه حتی نیاز باشد آسیب‌پذیری‌های پیچیده در نرم‌افزارهای رسمی اکسپلویت شود.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,825,650 ریال11,651,300 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    1,940,650 ریال3,881,300 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    6,214,520 ریال15,536,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,823,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,823,800 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    3,883,150 ریال7,766,300 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    4,195,800 ریال13,986,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد