برنامه iOS Dipsic ، که هنوز یکی از محبوب ترین برنامه های بارگیری شده در فروشگاه App است ، دارای چندین نقص امنیتی جدی است. این یافته های جدید حتی جدی تر از مشکل امنیتی قبلی است که منجر به انتشار تاریخ گپ و سایر اطلاعات محرمانه در یک بانک اطلاعاتی غیر معتبر شده است.
گزارش شده است 9to5macدر حالی که قبل از تبدیل شدن به یک خبر مهم ذکر شده بود ، این یک برنامه ناشناخته بود که ناگهان بیشترین برنامه آیفون برای اکثر کاربران Depsic شد.
این برنامه با ارائه توانایی های پیشرفته و الزامات سخت افزاری که چت های مشابه را ارائه می دهد ، محققان را شگفت زده می کند. هوش مصنوعی شود همین امر همچنین منجر به کاهش ارزش اقدامات چندین شرکت اطلاعاتی مصنوعی در ایالات متحده شد.
اما چندی پیش نگذشت که نگرانی در مورد امنیت و حریم خصوصی باشد. سازمان حفظ حریم خصوصی ایتالیا در مورد اقتباس از برنامه با قوانین حمایت از داده های اروپا ابراز تردید کرد و ایرلند سؤالات مشابهی را مطرح کرد. مقامات آمریکایی همچنین در حال بررسی عواقب احتمالی امنیت برنامه هستند.
سپس مشخص شد که شرکت توسعه Deepsic به طور غیر ارادی از پایگاه داده ای محافظت کرده است که شامل بیش از یک میلیون لوازم ثبت شده از جمله کلیدهای تاریخ گپ و کلیدهای امنیتی است.
نقص های امنیتی کشف شده در استفاده از غوطه وری بیمار
NowSecure Mobile Security چندین نقص امنیتی را در برنامه آیفون کشف کرده است که یکی از آنها غیرفعال کردن ایمنی حمل و نقل برنامه اپل (ATS) است.
ATS یک لایه امنیتی داخلی در iOS است که تضمین می کند داده های محرمانه فقط از طریق کانال های رمزگذاری شده قابل ارسال است. اما NowSecure کشف کرده است که DePsic سیستم را غیرفعال کرده است.
“برنامه dipsic به طور کلی امنیت حمل و نقل برنامه (ATS) را غیرفعال کرده است. این سیستم امنیتی از انتقال داده های محرمانه از طریق کانال های غیر ضروری جلوگیری می کند. اما با غیرفعال کردن این ویژگی ، DiPSIC داده ها را بدون رمزگذاری از طریق اینترنت می فرستد.
این شرکت امنیتی هشدار داد که اطلاعات فاش می شود ، اگرچه به تنهایی بی ضرر به نظر می رسد ، اما می تواند هویت کاربر را در ترکیب با سایر داده ها نشان دهد.
“اگرچه این داده ها به طور جداگانه بسیار حساس نیستند ، جمع آوری اطلاعات مختلف با گذشت زمان می تواند به راحتی افراد را شناسایی کند. نمونه ای از انتشار اخیر اطلاعات تجزیه و تحلیل سالسا نشان می دهد که این داده ها در یک حجم زیاد جمع آوری شده و می توانند هویت میلیون ها نفر را در معرض دید خود قرار دهند.
از طرف دیگر ، در قسمت هایی که داده ها رمزگذاری می شوند ، Depsic از یک الگوریتم رمزگذاری قدیمی و ناامن استفاده کرده است.
“الگوریتم رمزگذاری انتخاب شده در این برنامه از استاندارد 3DES استفاده می کند ، که برای مدت طولانی ناامن بوده و گزینه مناسبی برای محافظت از اطلاعات محرمانه نیست.”
علاوه بر این ، اطلاعات جمع آوری شده توسط برنامه می تواند برای شناسایی افراد خاص ، از جمله اهداف بالقوه جاسوسی استفاده شود.
“[نمونهای از کاربران] از iPad جدید استفاده کنید و داده های سلول خود را به شبکه ایالات متحده (اپراتور ارتباطات اضطراری ایالات متحده) وصل کنید. “چنین کاربر احتمالاً می تواند یک هدف ارزشمند برای جاسوسی باشد.”
این شرکت امنیتی هشدار داد که اطلاعات جمع آوری شده توسط DePSIC ، به همراه داده های سایر برنامه ها ، می توانند خریداری ، ترکیب و تجزیه و تحلیل شوند تا کاربران بتوانند به راحتی شناسایی کنند.
dipsic بی خطر نیست. نسخه Android حتی بدتر است
تجزیه و تحلیل جامع در این برنامه نشان می دهد که استفاده از dipsic برای کاربران بی خطر نیست. علاوه بر این ، نسخه اندرویدی این برنامه حتی برای امنیت نیز بدتر است.