ماجرای «نقص امنیتی جدید پیام رسان سروش» چیست؟ (+ به‌روزرسانی)

پس از جنجالی شدن امکان دست یافتن به اطلاعات گردانندگان (ادمین) کانال‌ها در «سروش» (Soroush) که برطرف شد، اخیراً یک تصویر جدید دست به دست می‌چرخد که ادعا می‌شود تداوم نواقص امنیتی این پیام رسان را نشان می‌دهد، اما ماجرای این تصویر چیست و چه چیزی را نشان می‌دهد؟

نقص امنیتی ادعا شده

تصویر منتشر شده فایل دیتابیس (DataBase) یا همان پایگاه داده اپلیکیشن سروش را نشان می‌دهد که از آن برای نگه داری اطلاعات حساب، تاریخچه آفلاین چت‌ها، گروه‌ها، فایل‌ها و اطلاعات بیشتری چون لیست مخاطبان کاربر استفاده می‌شود. اما اهمیت این فایل چیست و این تصویر چه چیزی را نشان می‌دهد؟

نسخه اندروید سروش از ساختار SQLite برای پایگاه داده خود استفاده می‌کند که تا اینجای کار هیچ اشکالی به چشم نمی‌خورد اما مشکل آنجاست که این پایگاه داده فاقد هرگونه رمزنگاری است و به آسانی می‌توان محتویات آن را خواند.

امکان خواندن پیام ها، چت ها و پست ها

کافی است دستگاه مورد نظر روت شده باشد تا با یک برنامه FileManager ساده بتوان خود فایل پایگاه داده‌ و محتویات آن را استخراج کرد. به وضوح اگر دستگاه کاربر روت شده باشد، سایر برنامه های نصب شده یا حتی بدافزارهای احتمالی نیز توانایی دسترسی به این اطلاعات را دارند. اما این فایل چه اطلاعاتی درون خود نگه می‌دارد؟

• لیست چت‌ها به همراه مشخصات مخاطبین
• تاریخچه گروه‌ها و کانال‌ها (به صورت آفلاین)
• مشخصات حساب کاربر
• مشخصات و شماره مخاطبین کاربر
• گزارش قبض‌های پرداخت شده
• گزارش شارژهای خریداری شده
• تمامی فایل‌های بارگذاری شده، دریافت و فرستاده شده
• لیست گروه‌هایی که کاربر عضو آنها است
• اموجی های اخیراً استفاده شده
• بسته‌های استیکر مورد استفاده کاربر

به وضوح نه تنها می‌توان تمامی اطلاعات بالا را استخراج کرد یا خواند، بلکه امکان دست‌کاری آنها نیز وجود دارد.

ایراد کار کجاست؟
در این مورد مشخص علت این نقص استفاده نکردن طراحان آن از هرگونه رمزنگاری در نوشتن و خواندن داده‌ها در پایگاه داده است. بدیهی است باید یک الگوریتم رمزنگاری به خدمت گرفته شود و تمامی داده‌ها پیش از نوشته شدن در پایگاه داده رمزنگاری شوند تا دیگر نتوان به آسانی محتویات آن را استخراج کرد. در صورتی که سروش از پایگاه داده رمزنگاری شده استفاده کرده بود، دیگر این اطلاعات بی معنی و غیر قابل خواندن بودند.

این نقص به خود اپلیکیشن مربوط می‌شود و ارتباطی با پروتکل ارتباطی یا سرورهای سروش ندارد، از این رو می‌توان با اضافه کردن یک الگوریتم رمزنگاری از طریق انتشار یک نسخه جدید، آن را برطرف نمود.

نقص مورد بحث بیشتر از آنکه ضعف امنیتی برنامه ای چون سروش را نشان دهد، بی توجهی کامل طراحان آن به مقوله امنیت را نشان می دهد.

بروزرسانی
نسخه جدید 1.7 که امروز منتشر شد مورد بررسی قرار گرفت و همچنان این مشکل پابرجاست.

منبع : شهرسخت افزار