Post #1655

🚨 بالاخره گزارش کامل ارزیابی و ارتقاء امنیتی پروژه "مطمئن باش" (MotmaenBash) رو منتشر کردم! 🚨 پروژه "مطمئن باش" که توسط میلاد نوری معرفی شد، این روزها حسابی وایرال شده و افراد و رسانه‌های زیادی مثل اهورا نیازی و زومیت هم کلی ازش تبلیغ و حمایت کردند. شعار "امنیت مطمئن باش" و ادعای متن‌باز بودن و پردازش آفلاین روی گوشی، خیلی سر و صدا کرد و حتی تونست در گوگل پلی هم منتشر بشه. خیلی از کاربران به صرف اینکه یک اپلیکیشن در گوگل پلی موجوده، به امنیتش اعتماد می‌کنند، ولی باید بدونیم که حضور در گوگل پلی به تنهایی تضمین‌کننده امنیت کامل نیست و این پلتفرم بیشتر روی بدافزارها و نقض آشکار قوانین تمرکز داره، نه آسیب‌پذیری‌های عمیق کدنویسی! وقتی خودم سورس کد 📱 رو بررسی کردم، واقعیت پشت پرده چیز دیگه‌ای بود: ۴۷ آسیب‌پذیری امنیتی جدی پیدا کردم که باید رفع می‌شدند! 🗿 از لو رفتن کلید API فایربیس و رمزنگاری ضعیف در اندروید گرفته، تا آسیب‌پذیری‌های XSS در افزونه‌های مرورگر و درخواست مجوزهای خطرناک و بیش از حد (مثل دسترسی به تمام پیامک‌ها یا نمایش روی تمام اپ‌ها) که امنیت و حریم خصوصی کاربر رو به خطر می‌انداخت. شاید این مجوزها از نظر گوگل پلی قابل توجیه باشند، چون اپلیکیشن ادعا می‌کنه برای مبارزه با فیشینگ هست، ولی در عمل، همین مجوزها و ضعف‌های کدنویسی، خودشون می‌تونستن راه رو برای سوءاستفاده‌های جدی باز کنن! تو این گزارش جامع، تمام این مشکلات و نقاط ضعف امنیتی رو با جزئیات کامل توضیح دادم و راه‌حل‌های عملی و Enterprise-Grade برای امن‌تر کردنش ارائه دادم. بعد از اصلاحات، این پلتفرم حالا آماده استفاده در سطح Enterprise هست و من هم یک Pull Request کامل با مستندات لازم ارسال کردم که امیدوارم بررسی کنند. نکته مهم: پروژه در گیت‌هاب من هم فورک شده و می‌تونید همه تغییرات و بهبودهای امنیتی رو اینجا ببینید: 📱Github امنیت واقعی، فراتر از هیاهوست....... آروان کد🌐