پس ‌از اینکه محققان شرکت امنیت تلفن همراه Lookout کشف کردند که چندین اشکال در نرم‌افزارهای اندروید و iOS مربوط به کنفرانس کلاه ‌سیاه‌ها وجود دارد؛ که موجب جعل هویت و جاسوسی بر روی گوشی‌های همراه می‌شود؛ برگزارکنندگان این مراسم این نرم‌افزارها را به‌روزرسانی کردند.

به گزارش آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) , نرم‌افزارهای کنفرانس کلاه‌سیاه‌های ۲۰۱۶ در آمریکا که به‌وسیله‌ی DoubleTouch برای برگزارکننده آن UBM نوشته شده است، به کاربران اجازه می‌دهد تا اطلاعاتی را در مورد دستورهای کار، سخنرانان، شرکت‌کنندگان، غرفه‌داران و حامیان مالی این کنفرانس به دست آورند. همچنین نرم‌افزاری که برای امسال ساخته شده بود دارای یک قابلیت اجتماعی نیز بود که به افراد اجازه می‌داد تا یک حساب کاربری ایجاد کرده و با دیگر شرکت‌کنندگان این مراسم در تماس باشند و پیام‌هایی را شبیه به فعالیت‌های توییتر در آن ارسال کنند.

کارشناسان چندین شیوه را یافته‌اند که با کمک آن‌ها می‌توان هویت کاربران را در این نرم‌افزار جعل کرده و یا به جاسوسی در آن پرداخت.

برای مثال، این برنامه‌ها به کاربران اجازه می‌دادند که حساب خود را با هر نشانی رایانامه‌ای که می‌خواهند ثبت کنند بدون اینکه قبلاً از آن برای ثبت‌نام در یک حساب کاربری خود استفاده کرده باشند. چون نیازی نبود که کاربران رایانامه‌ی خود را برای ثبت‌نام تأیید کنند، مهاجمان می‌توانستند خود را به‌جای شرکت‌کنندگان جا بزنند و به انجام فعالیت پرداخته و پیام‌هایی را به دیگران از طرف آن‌ها ارسال کنند. مشخصات کاربری که توسط کاربران در این نرم‌افزار ایجاد می‌شد می‌توانست هر نوع اطلاعاتی را بپذیرد و حتی کار را برای جعل هویت دیگران آسان‌تر می‌کرد.

مشکلی دیگری که به‌وسیله‌ی شرکت Lookout کشف شد مربوط به قابلیت بازنشانی کلمه عبور بود. کارشناسان متوجه شدند که کاربری که در حساب خود وارد شده است حتی بعدازاینکه کلمه عبور حساب، تنظیم مجدد شده است، هنوز قادر به دسترسی به آن حساب است. این نقطه‌ضعف به این دلیل وجود دارد که توکن احراز هویت بعدازاینکه کلمه عبور بازنشانی شد، منقضی نمی‌شده است.

Lookout در یکی از ارسال‌های وب‌نوشت خود می‌نویسد: «یک مهاجم می‌تواند با پیش‌بینی از قبل (قبل از اینکه کاربر واقعی این کار را انجام دهد) با نام و نشانی هرکدام از شرکت‌کنندگانی که می‌خواهند در این نرم‌افزار وارد شوند، ثبت‌نام کند. بعد از انجام این کار، مهاجم می‌تواند دسترسی دائمی به حساب کاربری با این نشانی رایانامه داشته باشد، حتی در مواردی که کاربر واقعی کلمه عبور حساب کاربری خود را بازنشانی می‌کند، مهاجم دسترسی دائمی به حساب کاربری داشته و می‌تواند با جعل هویت قربانی به ارسال نظرات و جاسوسی بپردازد».

این اشکال با حذف قابلیت اجتماعی از برنامه‌های تلفن همراه کنفرانس کلاه‌سیاه‌های ۲۰۱۶ برطرف شده است. کاربران نیازی نداند تا کاری انجام دهند چرا که به‌روزرسانی به‌صورت خودکار بر روی دستگاه آن‌ها صورت خواهد گرفت.

این اولین باری نیست که محققان آسیب‌پذیری‌هایی را در نرم‌افزارهای تلفن همراهی که به‌ویژه برای کنفرانس‌های امنیتی ساخته می‌شوند، پیدا می‌کنند. کارشناسان امسال دست‌کم در دو حالت، حفره‌های امنیتی را در نرم‌افزارهای کنفرانس RSA یافتند و آن هنگامی بود که یک کلمه عبور توکار را در نرم‌افزار اندروید پیدا کردند که به‌وسیله‌ی فروشندگان برای بررسی نشان‌های بازدیدکنندگان مورد استفاده قرار می‌گرفت.

گزارش تصویری اندیشه نگار پارس