برنامه خرید SHEIN سرکش می شود، داده های قیمت و URL را از کلیپ بورد شما می گیرد

برنامه خرید SHEIN سرکش می شود، داده های قیمت و URL را از کلیپ بورد شما می گیرد

تمبر زمان: 10 مارس 2023، 12:58 بعد از ظهر
گره منبع: 2005243
by پل داکلین

برند چینی "فست مد" SHEIN با بحث و جدل غریبه نیست، به ویژه به دلیل نقض داده های سال 2018 که شرکت مادر آن زمان Zoetop نتوانست آن را تشخیص دهد، چه رسد به توقف آن، و سپس به طور غیرصادقانه با آن برخورد کرد.

همانطور که لتیتیا جیمز، دادستان کل ایالت نیویورک، در الف بیانیه در پایان سال 2022:

تدابیر امنیتی ضعیف دیجیتالی SHEIN و [نام تجاری خواهر] ROMWE، سرقت اطلاعات شخصی مشتریان را برای هکرها آسان کرده است. […]

[P] داده های شخصی به سرقت رفت و Zoetop سعی کرد آن را پنهان کند. ناتوانی در محافظت از داده های شخصی مصرف کنندگان و دروغ گفتن در مورد آن مرسوم نیست. SHEIN و ROMWE باید اقدامات امنیتی سایبری خود را برای محافظت از مصرف کنندگان در برابر کلاهبرداری و سرقت هویت انجام دهند.

در زمان صدور حکم دادگاه نیویورک، ما از جریمه به ظاهر ناچیز 1.9 میلیون دلاری اعمال شده با توجه به گستردگی تجارت ابراز تعجب کردیم:

صادقانه بگویم، ما متعجبیم که Zoetop (اکنون شرکت توزیع SHEIN در ایالات متحده) با توجه به اندازه، ثروت و قدرت نام تجاری شرکت، فقدان آشکار حتی اقدامات احتیاطی اولیه که می توانست از خطرات ناشی از آن جلوگیری کند یا کاهش دهد، اینقدر ساده عمل کرد. توسط نقض، و عدم صداقت مداوم آن در رسیدگی به نقض پس از مشخص شدن آن.

کد برنامه اسنوپی اکنون فاش شد

چیزی که ما نمی‌دانستیم، حتی زمانی که این پرونده در سیستم قضایی نیویورک در حال بررسی بود، این بود که SHEIN در حال اضافه کردن کدهای عجیب (و مشکوک، اگر نه واقعاً مخرب) به برنامه Android خود بود که آن را به یک نوع اساسی از «تبدیل می‌کرد. ابزار جاسوس افزار بازاریابی».

این خبر در اوایل این هفته زمانی که محققان مایکروسافت یک مطلب را منتشر کردند منتشر شد تحلیل گذشته نگر نسخه 7.9.2 برنامه اندروید SHEIN، از اوایل سال 2022.

اگرچه از زمانی که مایکروسافت رفتار مشکوک خود را گزارش کرد، آن نسخه از برنامه بارها به‌روزرسانی شده است، و اگرچه Google اکنون برخی از اقدامات کاهشی را به Android اضافه کرده است (به پایین مراجعه کنید) تا به شما کمک کند برنامه‌هایی را که سعی می‌کنند با نوعی حقه‌بازی SHEIN کنار بیایند، شناسایی کنید.

... این داستان یادآوری قوی است که حتی برنامه‌هایی که در Google Play «تأیید و تأیید شده‌اند» ممکن است به روش‌های انحرافی کار کنند که حریم خصوصی و امنیت شما را تضعیف می‌کند - مانند موارد مشابه برنامه های سرکش "Authenticator". حدود دو هفته پیش نوشتیم

محققان مایکروسافت نگفتند که چه چیزی علاقه آنها را به این برنامه خاص SHEIN برانگیخته است.

همانطور که می دانیم، آنها ممکن است به سادگی نمونه ای از برنامه های با تعداد دانلود بالا را انتخاب کرده باشند و به طور خودکار کد دیکامپایل شده آنها را برای تماس های جذاب یا غیرمنتظره با عملکردهای سیستم جستجو کرده باشند تا لیست کوتاهی از اهداف جالب ایجاد کنند.

به قول خود محققین:

ما ابتدا یک تجزیه و تحلیل استاتیک از برنامه انجام دادیم تا کد مربوطه مسئول این رفتار را شناسایی کنیم. سپس با اجرای برنامه در یک محیط ابزار برای مشاهده کد، از جمله نحوه خواندن کلیپ بورد و ارسال محتویات آن به یک سرور راه دور، یک تحلیل پویا انجام دادیم.

برنامه SHEIN دارای بیش از 100 میلیون بارگیری است، که بسیار پایین تر از برنامه های فوق العاده بالا مانند Facebook (5B+)، Twitter (1B+) و TikTok (1B+) است، اما با سایر برنامه های معروف و پرکاربرد. برنامه هایی مانند سیگنال (100 میلیون و بالاتر) و مک دونالد (100 میلیون و بالاتر).

حفاری در کد

این برنامه به خودی خود بسیار بزرگ است و وزن آن به 93 مگابایت در فرم APK (فایل APK، مختصر بسته اندروید، در اصل یک آرشیو فشرده فشرده ZIP است) و 194 مگابایت در هنگام باز کردن و استخراج.

این شامل یک تکه قابل توجه از کد کتابخانه در مجموعه ای از بسته ها با نام سطح بالایی است com.zzkko (ZZKKO نام اصلی SHEIN بود)، شامل مجموعه ای از برنامه های کاربردی در بسته ای به نام com.zzkko.base.util.

این ابزارهای پایه شامل یک تابع به نام هستند PhoneUtil.getClipboardTxt() که با استفاده از ابزارهای کدنویسی استاندارد اندروید وارد شده از کلیپ بورد را می گیرد android.content.ClipboardManager:

جستجوی کد SHEIN/ZZKKO برای تماس با این تابع ابزار نشان می‌دهد که فقط در یک مکان استفاده می‌شود، بسته‌ای که نام آن جالب است. com.zzkko.util.­MarketClipboardPhaseLinker:

همانطور که در تجزیه و تحلیل مایکروسافت توضیح داده شد، این کد، زمانی که فعال می شود، هر آنچه را که در کلیپ بورد وجود دارد خوانده می شود و سپس تست می کند که آیا هر دو را در بر دارد یا خیر. :// و $، همانطور که ممکن است انتظار داشته باشید اگر نتیجه جستجوی مربوط به وب سایت شخص دیگری و قیمت به دلار را کپی و جایگذاری کنید:

اگر آزمایش با موفقیت انجام شود، کد تابعی را فراخوانی می‌کند که با نام غیرقابل تصور (و احتمالاً تولید خودکار) در بسته کامپایل شده است. k()، یک کپی از متن تحت تعقیب را به عنوان پارامتر ارسال می کند:

همانطور که می بینید، حتی اگر برنامه نویس نباشید، این عملکرد جالب نیست k() داده‌های کلیپ‌بورد استخراج‌شده را در یک بسته بندی می‌کند POST درخواست، که نوع خاصی از اتصال HTTP است که به سرور می گوید: "این یک درخواست GET سنتی نیست که از شما می خواهم چیزی برای من بفرستید، بلکه یک درخواست آپلود است که در آن داده ها را برای شما ارسال می کنم."

La POST درخواست در این مورد در URL آپلود می شود https://api-service.shein.com/marketing/tinyurl/phrase، با محتوای HTTP که معمولاً چیزی شبیه به این است:

 POST //marketing/tinyurl/phrase میزبان: api-service.shein.com. . . Content-Type: application/x-www-form-urlencoded phrase=... محتویات رمزگذاری شده پارامتر به k()...

همانطور که مایکروسافت با مهربانی در گزارش خود اشاره کرد:

اگرچه ما از هیچ هدف مخربی توسط SHEIN آگاه نیستیم، حتی رفتارهای به ظاهر خوش خیم در برنامه‌ها نیز می‌توانند با هدف مخرب مورد سوء استفاده قرار گیرند. تهدیدهایی که کلیپ‌بوردها را هدف قرار می‌دهند، می‌توانند هرگونه اطلاعات کپی‌شده و پیست‌شده را در معرض خطر سرقت یا تغییر توسط مهاجمان قرار دهند، مانند گذرواژه‌ها، جزئیات مالی، داده‌های شخصی، آدرس کیف پول ارزهای دیجیتال و سایر اطلاعات حساس.

نشانه‌های دلار در کلیپ‌بورد شما همیشه نشان‌دهنده جستجوی قیمت نیستند، به ویژه به این دلیل که اکثر کشورهای جهان ارزهایی دارند که از نمادهای متفاوتی استفاده می‌کنند، بنابراین طیف گسترده‌ای از اطلاعات شخصی را می‌توان از این طریق حذف کرد…

...اما حتی اگر داده‌های به دست آمده واقعاً از جستجوی بی‌گناه و بی‌اهمیتی که شما در جای دیگری انجام داده‌اید، به دست آمده باشد، باز هم به جز مال شما، به هیچ کس دیگری مربوط نمی‌شود.

رمزگذاری URL معمولاً زمانی استفاده می شود که می خواهید URL ها را به عنوان داده منتقل کنید، بنابراین نمی توان آنها را با URL های "زنده" که قرار است بازدید شود مخلوط کرد، و به طوری که آنها حاوی هیچ کاراکتر غیرقانونی نباشند. به عنوان مثال، فضاها در URL ها مجاز نیستند، بنابراین آنها در داده های URL به تبدیل می شوند %20، که در آن علامت درصد به معنای "بایت ویژه به عنوان دو کاراکتر هگزادسیمال دنبال می شود" است 20 کد اسکی هگزادسیمال برای فضا (32 در اعشار) است. به همین ترتیب، یک سکانس خاص مانند :// به ترجمه خواهد شد %3A%2F%2F، زیرا دو نقطه ASCII 0x3A (58 در اعشار) و اسلش رو به جلو 0x2F (47 در اعشار) است. علامت دلار به عنوان بیرون می آید %24 (36 در اعشار).

چه کاری انجام دهید؟

به گفته مایکروسافت، پاسخ گوگل به این نوع رفتار در برنامه های غیرقابل اعتماد - چیزی که شما ممکن است به عنوان "خیانت ناخواسته" تصور کنید - تقویت کدهای مدیریت کلیپ بورد اندروید بود.

احتمالاً سخت‌تر و محدودتر کردن مجوزهای دسترسی به کلیپ‌بورد از نظر تئوری راه‌حل بهتری می‌بود، همانطور که بررسی برنامه‌های فروشگاه Play سخت‌گیرانه‌تر بود، اما ما فرض می‌کنیم که این پاسخ‌ها در عمل بیش از حد مزاحم تلقی می‌شوند.

به عبارت ساده تر، هر چه نسخه اندروید شما جدیدتر باشد (یا بتوانید به آن ارتقا دهید)، کلیپ بورد با محدودیت بیشتری مدیریت می شود.

ظاهراً در اندروید 10 به بعد، یک برنامه به هیچ وجه نمی تواند کلیپ بورد را بخواند مگر اینکه به طور فعال در پیش زمینه اجرا شود.

مسلماً، این کمک چندانی نمی‌کند، اما برنامه‌هایی را که بی‌حرکت رها کرده‌اید و شاید حتی فراموش کرده‌اید، مدام در مورد کپی و پیست کردن خود غافل نشوند.

اندروید 12 و نسخه‌های جدیدتر یک پیام هشدار ظاهر می‌شود که می‌گوید «برنامه XYZ از کلیپ‌بورد شما چسبانده شده است»، اما ظاهراً این هشدار تنها اولین باری که برای هر برنامه‌ای اتفاق می‌افتد (ممکن است زمانی باشد که انتظارش را داشتید) ظاهر می‌شود، نه در گرفتن کلیپ‌بورد بعدی. (زمانی که این کار را نکردید).

و اندروید 13 هر چند وقت یکبار به طور خودکار کلیپ بورد را پاک می کند (ما مطمئن نیستیم که چند وقت یکبار است) تا داده هایی را که ممکن است به طور نامحدود در مورد آنها فراموش کرده باشید متوقف کند.

با توجه به اینکه گوگل ظاهراً قصد ندارد دسترسی به کلیپ‌بورد را آنطور که می‌خواهید کنترل کند، توصیه‌های مایکروسافت را در اینجا تکرار می‌کنیم که در امتداد این موارد است: «اگر چیزی دیدید، چیزی بگویید... و با پاهای خود رأی دهید، یا حداقل انگشتانت”:

حذف برنامه‌هایی با رفتارهای غیرمنتظره، مانند اعلان‌های دسترسی […] به کلیپ‌بورد را در نظر بگیرید و این رفتار را به فروشنده یا اپراتور فروشگاه برنامه گزارش دهید.

اگر ناوگانی از دستگاه های تلفن همراه شرکت دارید، و هنوز نوعی از مدیریت دستگاه تلفن همراه و محافظت از بدافزار را به کار نگرفته اید، چرا نگاهی به آنچه در حال حاضر ارائه می شود?

تمبر زمان:

بیشتر از امنیت برهنه