سرایت مشکلات SSL به برنامه های تلفن همراه
مشکلات SSL به بسیاری از برنامه های تلفن همراه سرایت کرده است.
به گزارش بخش امنیت اینتل (آزمایشگاه های McAfee) در فوریه 2015 ، تهدیداتی مربوط به مسائل امنیتی در لایه انتقال برنامه های تلفن همراه وجود دارد که در حال حاضر برطرف نشده است.
در سپتامبر سال 2014، تیم اضطراری پاسخ دهی به مسائل کامپیوتر (CERT) در دانشگاه Carnegie Mellon یک لیستی از چندین برنامه تلفن همراه که مشکلاتی در SSL داشتند، را منتشر کرد.
در ژانویه سال 2015، آزمایشگاههای بخش امنیت اینتل، 25 برنامه محبوب را از لیست CERT تست کردند و متوجه شدند که 18 برنامه هنوز هم مشکلات امنیتی دارند. این مشکل به طور بالقوه می تواند یک مهاجم را قادر به رهگیری اطلاعات کاربر کند در حالی که کاربر تصور می کند در حال استفاده از یک اتصال امن SSL است.
راج سامانی، CTO و معاون بخش امنیت اینتل،به eWEEK گفت: “دانستن دلایل این موضوع بسیار سخت است ، اما اغلب مشکلات مانند این ها می تواند به این دلیل باشد که دیگر برنامه به طور فعال توسعه نمی یابد و یا از بین رفته است. در حالی که بسیاری از آنها شدیدا در حال فعالیت هستند و مسیر توسعه را ادامه میدهند. متاسفانه این موقعیت نشان دهنده این است که توسعه دهندگان نرم افزارها اولویت های دیگری دارند .”
سامانی گفت، توسعه دهندگان برنامه ها برای پیاده سازی ویژگی های جدید و رقابتی ماندن نیازهای ثابتی دارند، اگرچه مسائل مطرح شده در این گزارش آزمایشگاه McAfee تاثیر بزرگی دارد. او اضافه کرد متاسفانه، بسیاری از توسعه دهندگان و شرکت ها در مورد امنیت به عنوان یک چاره اندیشی موقت یا یک افزودنی فکر می کنند، و آن را از آغاز ایجاد نمی کنند.
وی افزود، شما می توانید براین باور باشید که آنها از SSL استفاده می کنند و این کار خوبی است و شاید این مشکل در منابعی است که از طرف گوگل در اختیار توسعه دهندگان قرار گرفته شده است.اما گوگل یک صفحه وب دارد که در مورد موضوع اعتبار سنجی مناسب گواهی نامه SSL ، و حتی هشدارهای عواقب استفاده از آن بحث می کند.
سامانی گفت، توسعه دهندگان برنامه ها ممکن است که از مشکلات پیاده سازی SSL در برنامه های خود به طور کامل آگاه نباشند. او اضافه کرد برای یک توسعه دهنده برنامه، اگر کد، کامپایل و اجرا شود و آنها بتوانند ترافیک رمزگذاری شده را ببینید، فکر میکنند که مشکلی وجود ندارد، و به خطرات ناشی از استفاده از آن فکر نمیکنند.
سامانی گفت: در این مورد، این را میتوان گفت که سطح تضمین کیفیت در نرم افزارهایشان ناکافی است یا کارکنان به اندازه کافی مهارت لازم برای انجام این سطح از تست را ندارند، که نیاز به شبیه سازی یک مهاجم دارد که برای رهگیری ترافیک تولید شده توسط گواهی خود، تلاش می کند.
او گفت، ممکن است برخی توسعه دهندگان این برنامه ها دلایل مورد قبولی برای این کار داشته باشند. به تیم توسعه دهنده تمام نرم افزارهایی که در لیست آزمایشگاههای McAfee هستند حداقل دو بار در مورد این مشکلات اطلاع داده شده است.
سامانی گفت: ما امیدواریم که عدم اصلاح این مشکل منجر به ایجاد مشکل برای مردم نشود، متاسفانه، ممکن است وقوع یک مشکل جدی و قربانی شدن مشتریان و حتی باز شدن پرونده های حقوقی باعث شود که رفع این مشکل به یک اولویت تبدیل شود.
