داستان کشف و گزارش یک آسیب پذیری قدیمی به گوگل

[Sorna 16]

سلام و خسته نباشید خدمت همه دوستان عزیز ، آرین چهرقانی هستم و امروز میخوام بر خلاف موضوعاتی که قبلا ایجاد میکردم بعد از گذشت 2 ماه یا بیشتر یه داستان جذاب تعریف کنم باید بگم این داستان نمونه نداره و تا آخرش برید متوجه فرقش میشید قطعا

قضیه برمیگرده به 4 سال پیش زمانی که داشتم توی لینوکس برای یک گوشی اندروید پیلود میساختم تا از اون گوشی دسترسی بگیرم ، سال ها قبل تر از اون زمانی که وارد وب حوزه وب هکینگ نشده بودم من هر پیلودی که با لینوکس میساختم یا مینوشتم حتی هیچ آنتی ویروسی بهش گیر نمیداد پیشرفت هایی تو امنیت وجود داشت و باید یه جوری جلوی مارو میگرفتن یه چالشی باید میومد این وسط قطعا شما تجربه دارید خودتون و میدونید که اون چیزایی که 1 درصد امنیت نداشتن الان به یک چالش برای هکر ها تبدیل شدند .
و چالش من از اونجا شروع شد مقابله با یک انتی ویروس و دورزدنش ! تا اون زمان هیچ مشکلی نداشتم و وقتی که این مشکل پیش اومد تصمیم گرفتم که یه کاری بکنم چون واقعا جلوی کارم رو گرفته بود ! برای همین یه عالمه جست و جو کردم تو گوگل هیچی نبود ! هیچی نبود که برم بخونم فقط یکسری انجمن بودن که راهکاراشون برای من جوابگو نبود . بدون فکر کردن به راه هایی مثل بایند بسته مخرب خودم با یک برنامه سالم با خودم گفتم خب اقا بزار اصلا ببینم مکانیزم این گوگل پلی برای شناختن برنامه های مخرب چیه که من هرکاری میکنم نمیشه دورش زد برای همین رفتم سرچ کردم در این باره از این بپرس ، از اون بپرس بازم جوابی نگرفتم ! تقریبا نا امید شده بودم یکسری ها بودن که با همین تغییر امضا درامد داشتند ( میگفتن رت برای دورزدن گوگل پلی یه مبلغی هم میگرفتن  : ) اینا بودن و منم داشتم میگشتم و میگشتم  تا اینکه به یک آدرسی رسیدمم ....  این آدرس :

برای مشاهده این بخش نیازمند ثبت نام و یا ورود به حساب کاربری خود میباشید.

اومدم خوندم دیدم یه چیزی نوشته ( هر نسخه جدید اندروید تغییراتی ایجاد میکنه که باعث بهبود عملکرد و امنیت دستگاه میشه که برنامه پشتبانی خودش رو از طریق 'TsrgetSdkVersion' اعلام میکنه ) با خودم گفتم خدایا این داره خود اندروید رو میگه چی رو میگه با خودم گفتم بزار تو لیست برنامه های گوشیم یه برنامه رو بیارم و ورژن رو ادیت کنم ببینم چی میشه ، نهایت نصب نمیشه و دستگاه نمیزاره که نصب کنم .دیدم نه مشکلی نداشت برنامه هم رو گوشی نصب شد ، گفتم  اگر منظورش این نیست پس چیه گیج شده بودم و گفتم این به کارم نمیاد ولی دیدم یه جا نوشته امنیت !! خب گفتم بزار بیام این سری اینو رو پیلود که هی بهش گیر میده تست کنم ببینم چی میشه دیگه ضرری که نداره ...
اومدم تست کردم دیدم عجبا آنتی ویروس نمیتونه اینو شناسایی کنه ( بنظر میومد که با تغییر این ورژن آنتی ویروس کلا دایورت میشد : تو این لینک میتونید بخونید ) اینو من میدونستم ... تا همین پارسال  ، طی این سال ها یه عالمه روش اومد برای دورزدن این آنتی ویروس مثل امضا ، بایند کردن ، و هزار و یک روش دیگه که به سادگی این نمیشن اما باید اشاره کنم که سالهاست یکسری واسط مثل Spynote , Spymax و بقیه موارد هرسال میان میگن که ما با یک روش خاص انتی ویروس ها رو دور میزنیم و از این راه پول در میارن ، که باید بگم همش کلاهبرداری و چرت و پرت هست .

تا اینجا رسیدم گفتم بزار حالا اکسپلویتش رو بدیم بیرون بقیه هم استفاده کنن : )  برای همین توی سایت packetstormsecurity اینو ثبت کردم و شما میتونید از طریق این

برای مشاهده این بخش نیازمند ثبت نام و یا ورود به حساب کاربری خود میباشید.

بهش دسترسی داشته باشید در نهایت این اسیب پذیری بعد از گذشت چند سال منتشر شد حتی زمانی که راه های دیگه ای هم برای دورزدن این انتی ویروس بود . همه چیز اینجا تموم نشد و گفتم برای تنوع یه حالی بدیم به گوگل که برنامه های هانت رو بررسی کردم bughunters داشت خود گوگل روی برنامه Google Vrp تقریبا 1 سال با گوگل در ارتباط بودم ، وقتی فهمیدن قضیه چی هست 3 بار پشت سر هم به من ایمیل دادن که جزئیات بیشتری رو بهشون بدم

 

برای مشاهده این بخش نیازمند ثبت نام و یا ورود به حساب کاربری خود میباشید.

 

همونطور که توی تصوی میبنید باگی که گزارش دادم تریاژ شد و بعد از پاسخ دادن به گوگل تو این مرحله : اکسپت شد  👇

برای مشاهده این بخش نیازمند ثبت نام و یا ورود به حساب کاربری خود میباشید.

امیدوارم از این داستان خوشتون اومده باشه و اخر این موضوع میخواستم بگم که خارج از جعبه نگاه کنید "خدانگهدار"

با تشکر از گروه امنیتی ایران سایبر و دوستان عزیزم ❤️

 

ویرایش شده مهر 7، 2022 توسط Sorna