آیسیتی نیوز – بررسیهای جدید خطرات امنیتی جدی را در اپلیکیشن های آموزشی مدارس آمریکا کشف کرده که به مجرمان فرصت کلاهبرداری میدهد. به گزارش سایبربان به نقل از د ریکورد؛ بر اساس گزارشی که روز دوشنبه توسط اتحادیه غیرانتفاعی Me2B منتشر شد، بسیاری از اپلیکیشن های مورد استفاده در مدارس آمریکا دارای ویژگیهایی هستند […]
آیسیتی نیوز – بررسیهای جدید خطرات امنیتی جدی را در اپلیکیشن های آموزشی مدارس آمریکا کشف کرده که به مجرمان فرصت کلاهبرداری میدهد.
به گزارش سایبربان به نقل از د ریکورد؛ بر اساس گزارشی که روز دوشنبه توسط اتحادیه غیرانتفاعی Me2B منتشر شد، بسیاری از اپلیکیشن های مورد استفاده در مدارس آمریکا دارای ویژگیهایی هستند که میتواند منجر به اشتراکگذاری «غیرقابلکنترل و خارج از کنترل» دادههای دانشآموزان به شرکتهای تبلیغاتی و سایر مسائل امنیتی شود.
این بررسی، گزارش تکمیلی از گزارش ماه می Me2B است. در آن گزارش Me2B بالغبر ۷۳ اپلیکیشن مورد استفاده در ۳۸ مدرسه آمریکا را مورد بازرسی قرار داد و دریافت که ۶۰ درصد از آنها اطلاعات دانشآموزان را به اشخاص ثالث ارسال میکردند. تقریباً نیمی از آنها دادههای دانشآموزان را به گوگل و ۱۴ درصد هم اطلاعات دانش آموزان را به فیسبوک ارسال میکردند.
Me2Bدر گزارش جدید خود بهطور خاص به استفاده از یک ویژگی مشترک به نام “WebView” میپردازد که به توسعهدهندگان اجازه میدهد صفحات وب را در برنامهها ادغام کنند. اگرچه این ویژگی به مدارس اجازه میدهد تا جزئیات پویا مانند تقویمها و نتایج رویدادهای ورزشی را بدون نیاز به بهروزرسانی در خود اپلیکیشن قرار دهند، اما میتواند منجر به حذف اطلاعات دانش آموزان شود و در موارد بدتر، دانش آموزان و والدین را هدف کلاهبرداری اینترنتی قرار دهند.
مجرمان سایبری و کلاهبرداران بهطور منظم URL های منقضی شده را اسکن میکنند و از آنها برای هک کردن ایمیلهای تجاری، حملات فیشینگ و کمپینهای تبلیغاتی مخرب استفاده میکنند. مدارس آمریکا اگر فراموش کنند دامنه خود را تمدید کنند یا استفاده از دامنهای را بدون اینکه متوجه شوند در اپلیکیشن های دانش آموزان ادغام کنند، ممکن است قربانی این حملات شوند.
بهعنوانمثال، در موارد متعددی محققان ربودن صفحات وب مرتبط با اپلیکیشن های مدارس را مشاهده کردند که کاربران را به سمت سایتهای مخرب سوق میداد. اپلیکیشنی که توسط بزرگترین منطقه مدرسهای مریلند استفاده میشد بهطور تصادفی کاربران را به یک سایت در معرض خطر هدایت میکرد که زمانی برای تیمهای ورزشی منطقه استفاده میشد. مدرسه منطقه کوینلانِ تگزاس هم یک دامنه ورزشی داشت که در برنامه خود ادغامشده و توسط یک بازیگر ناشناس به قیمت ۳۰ دلار خریداری شده بود. یک تهدید امنیتی که گاهی اوقات دامنه آویزان (dangling domain) نامیده میشود.
زاک ادواردز (Zach Edwards)، مسئول بررسی یکپارچگی دادهها در Me2B گفت: به نظر میرسد مدارس بهتازگی ثبتکنندههای دامنه خصوصی را برای ثبت دامنههای غیردولتی (غیر.gov) خود انتخاب کردهاند و سپس فراموش کردهاند دامنهها را تمدید کنند. ظاهراً مدارس حتی متوجه نشدند که کنترل این دامنهها را نیز ازدستدادهاند تا زمانی که ما این مسئله را گزارش کردیم.
