بلاگ آزمایشگاه امنیت وایت لب بلاگ آزمایشگاه امنیت وایت لب

نشت اطلاعات بیش از ۷۸۰ هزار کاربر برنامه ES File Explorer

| زمان مطالعه : 3 دقیقه
نشت اطلاعات بیش از ۷۸۰ هزار کاربر برنامه ES File Explorer

بررسی‌های گروه امنیتی وایت لب روی سرورهای مربوط به شرکت Estrongs که برنامه‌های زیادی مانند ES File Explorer ,ES TASK MANAGER و … را در زیرمجموعه خود دارد نشان می‌دهد این اپلیکیشن‌ها بدون اطلاع قبلی، اطلاعات حساس و مهم کاربران را جمع‌آوری و در سرورهای خود ذخیره می‌کنند.

از مهم ترین این اطلاعات می‌توان به لیست دایرکتوری‌های موجود در دستگاه به همراه نام پکیج برنامه سازنده دایرکتوری‌ها اشاره کرد. همچنین در ماه‌های اخیر گزارش‌هایی در مورد سواستفاده این شرکت از اطلاعات کاربران برای مقاصد تبلیغاتی از سوی گروه‌های امنیتی دیگر نیز منتشر شده بود.

با بررسی اطلاعات و زمان استخراج، مشخص می‌شود فرآیند جمع‌آوری از سال ۲۰۱۴ آغاز شده و در حال حاضر نیز ادامه دارد. همچنین با توجه به محبوبیت این برنامه‌ها در بین کاربران (بیش از ۲ میلیون نصب فعال صرفا در کافه‌بازار) و بررسی‌های صورت گرفته توسط گروه امنیتی وایت لب، در زمان بررسی، ۷۸۱۹۸۸ کاربر تحت اثر این سوء استفاده قرار گرفته‌اند.

نمونه‌ای از این اطلاعات در زیر آورده شده:

نمونه‌ای از اطلاعاتی که برنامه ES File Explorer جمع‌آوری و ارسال می‌کند

نکته‌ی جالب و قابل توجه این است که اطلاعات ذخیره شده روی دامنه estrongs.com قابل دسترسی بوده و تنها کافیست مسیر آن کشف شود. روال انجام این کار در ادامه تشریح می‌شود.

با استفاده از اسکریپتی مانند dirsearch میتوان به این صورت عمل کرد:

1
python3 dirsearch.py -u estrongs.com -e php

خروجی به شکل زیر خواهد بود:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
_|. _ _  _  _  _ _|_    v0.3.8
(_||| _) (/_(_|| (_| )

Extensions: php | Threads: 10 | Wordlist size: 6009

Error Log: /root/dirsearch/logs/errors-19-**-**_19-50-04.log

Target: estrongs.com

[19:50:05] Starting:
[19:50:09] 400 - 138B - /%2e%2e/google.com
[19:52:43] 301 - 185B - /code -> http://estrongs.com/code/
[19:52:49] 301 - 185B - /console -> http://estrongs.com/console/
[19:52:49] 200 - 4KB - /console/
[19:52:54] 301 - 185B - /css -> http://estrongs.com/css/
[19:53:10] 301 - 185B - /download -> http://estrongs.com/download/
[19:53:12] 301 - 185B - /dump -> http://estrongs.com/dump/
[19:53:13] 403 - 571B - /dump/
[19:53:31] 301 - 185B - /files -> http://estrongs.com/files/
[19:53:31] 403 - 571B - /files/
[19:53:52] 301 - 185B - /images -> http://estrongs.com/images/
[19:54:09] 301 - 185B - /js -> http://estrongs.com/js/
[19:54:13] 301 - 185B - /lib -> http://estrongs.com/lib/
[19:54:40] 301 - 185B - /mobile -> http://estrongs.com/mobile/
[19:54:40] 200 - 15KB - /mobile.php
[19:55:07] 200 - 69KB - /php.ini
[19:55:33] 200 - 0B - /readme.php
[19:55:35] 301 - 185B - /resources -> http://estrongs.com/resources/
[19:55:40] 403 - 571B - /sdk/
[19:56:15] 301 - 185B - /test -> http://estrongs.com/test/
[19:56:16] 200 - 6B - /test.php
[19:56:16] 200 - 0B - /test/
[19:56:17] 301 - 185B - /theme -> http://estrongs.com/theme/

مشاهده می‌شود که یک دایرکتوری به نام dump تشخیص داده شده است. اگر فرآیند بالا را برای این دایرکتوری تکرار کنیم مسیر

http://www.estrongs.com/dump/mysql.php

به دست می‌آید که علاوه بر اطلاعات ذکر شده، اطلاعات دیگری را نیز در دسترس قرار می‌دهد.

نتایج بررسی‌هایی امنیتی از این قبیل نشان می‌دهد بسیاری از شرکت‌های بزرگ و توسعه دهندگان اپلیکیشن‌های موبایلی پر دانلود، نسبت به امنیت و حفظ حریم خصوصی کاربران خود بسیار کم توجه بوده و حتی در مواردی مانند آنچه در این مقاله تشریح شد، به عمد سعی بر جمع‌آوری داده از کاربران بدون اطلاع رسانی درست به ایشان دارند.

توصیه می‌شود ترجیحا از نرم‌افزار‌های آزاد (OpenSource) استفاده کنید و به طور مرتب پیگیر آخرین اخبار حوزه امنیت سایبری باشید.
همچنین برای افزایش آگاهی و رفع سوالات خود، از مشاورین و متخصصین حوزه امنیت کمک بگیرید.