ویژگی(web login) اندروید می تواند برای از کار انداختن مجموعه ای
از برنامه های کاربردی مورد سوء استفاده قرار بگیرد. یک محقق امنیتی اظهار
داشت که یک ویژگی در سیستمهای اندروید میتواند برای از کار انداختن
مجموعهای از برنامههای کاربردی مربوط به کسب و کار مورد استفاده قرار
گرفته و تأیید هویت دو مرحلهای را به طور کامل نادیده بگیرد.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، در کنفرانس هک Defcon، یک محقق امنیتی با نام Craig Young از
Tripwire گفت که قادر است با استفاده از یک ویژگی برنامههای کاربردی گوگل
را به طور کامل به مخاطره بیاندازد. او اشاره کرد که این ضعف در
توکن(weblogin) وجود دارد. این توکن به کاربران اندروید اجازه میدهد تا
برای استفاده از تمامی خدمات مبتنی بر گوگل تنها یکبار ثبت نام نمایند.
در واقع این ویژگی به جای استفاده از رمز عبور، از کوکیها استفاده
میکند اما اگر مهاجمی به پنل کنترل دامنه دسترسی یابد میتواند باعث ایجاد
خرابی شود در این صورت مهاجم میتواند رمز عبور را مجددا تنظیم کند،
فایلها را از درایو دانلود نماید، تأیید هویت دو مرحلهای را غیرفعال کند و
نقشهای کاربر را تغییر دهد.
Young اظهار داشت که بهترین راه برای حفاظت خود و شرکتهای بزرگ در
برابر چنین تهدیدهایی آن است که هنگام دریافت درخواستهای توکن هوشیار
باشید، به منظور یافتن کدهای سوء استفاده از نرمافزار آنتیویروس استفاده
کنید و برنامههای کاربردی را تنها از منابع معتبر دانلود کرده و یا
خریداری نمایید.