در دنیای امروز، گوشیهای هوشمند منبع بسیار باارزشی از اطلاعات حساس محسوب میشوند. از طرفی، برنامههایی نیز که بر روی تلفنهای همراه هوشمند نصب میشوند، میتوانند بهعنوان یک کاوشگر عمل کرده و بهطور مداوم به جمعآوری تمام اطلاعات ممکن از دستگاههای کاربران بپردازند. مدل امنیتی سیستم عاملهای مدرن موبایل، مانند اندروید و iOS، عمدتا براساس مجوزهایی است که بهصراحت مشخص میکند که هر برنامه به کدامیک از خدمات حساس، قابلیتهای دستگاه یا اطلاعات کاربر دسترسی داشته باشد. بنابراین، کاربران این امکان را دارند تا سطح دسترسی هر برنامه را بر روی دستگاه خود تعریف کنند. بااینحال، یافتههای جدید یک تیم تحقیقاتی در مؤسسهی بینالمللی علوم رایانه در کالیفرنیا نشان میدهد که توسعهدهندگان برنامههای موبایل از تکنیکهای نادرست برای جمعآوری دادههای کاربران حتی بدون دریافت مجوز از سوی آنها، استفاده میکنند.
این محققان در سخنرانی خود تحت عنوان «۵۰ راه برای افشای اطلاعات شما» در کنفرانس PrivacyCon که به میزبانی کمیسیون تجارت فدرال (FTC) برگزار شده بود، با ارائهی یافتههای خود نشان دادند که چگونه بیش از ۱۳۰۰ برنامهی اندرویدی حتی پس از رد مجوزها توسط کاربران، به جمعآوری دادههای دقیق جغرافیایی و شناسههای تلفن آنها میپردازند. به گفتهی محققان، این برنامهها میتوانند با دورزدن مدل دریافت مجوز و با استفاده از روشهای حملهی کانال پنهان و کانال جانبی، بدون رضایت کاربران به دادههای محافظتشدهی آنها دسترسی پیدا کنند. این کانالها زمانی رخ میدهند که یک ابزار جایگزین برای دسترسی به منابع محافظتشده وجود داشته باشد که توسط مکانیزم امنیتی مورد بازرسی قرار نگرفته است.
محققان با مطالعه و بررسی بیش از ۸۸هزار برنامهی موجود در فروشگاه گوگل پلی دریافتند که ۱۳۲۵ برنامه با استفاده از روشهای جایگزین پنهان، قادر به نقض سیستم دریافت مجوز در سیستم عامل اندروید و دسترسی به دادههای شخصی کاربران مانند فرادادههای ذخیرهشده در تصاویر و اتصالات Wi-Fi هستند. بهعنوان مثال، محققان متوجه شدند که یک برنامهی ویرایش عکس که Shutterfly نام دارد، دادههای موقعیت مکانی یک دستگاه را با استخراج مختصات GPS از فرادادهی موجود در تصاویر، بهعنوان یک کانال جانبی، حتی زمانی که کاربران مجوز دسترسی به اطلاعات موقعیت مکانی را رد کرده باشند، جمعآوری میکند. علاوهبراین، لازم به ذکر است که اگر یک برنامه بتواند به موقعیت مکانی کاربر دسترسی پیدا کند، تمام سرویسهای شخص ثالثی نیز که در آن برنامه تعبیه شدهاند، این قابلیت را خواهند داشت.
محققان همچنین ۱۳ برنامهی دیگر با بیش از ۱۷ میلیون بار نصب را شناسایی کردند که به کد IMEI تلفنهای همراه دسترسی پیدا میکنند. به گفتهی محققان، کتابخانههای شخص ثالثی نیز که توسط دو شرکت چینی Baidu و Salmonads ارائه میشوند، از این تکنیک بهعنوان یک کانال پنهان برای جمعآوری دادهها بدون رضایت کاربر استفاده میکنند. در سایر برنامهها نیز از آدرس مک (آدرس فیزیکی) نقاط دسترسی به Wi-Fi، برای شناسایی موقعیت مکانی کاربر استفاده میشود.
محققان در بررسیهای خود، با موفقیت این برنامهها را بر روی نسخههایی از اندروید مارشمالو و پای آزمایش کردند. آنها یافتههای خود را در ماه سپتامبر سال گذشته به گوگل گزارش دادند و این شرکت نیز پاداشی را برای این گروه بهدلیل کشف این آسیبپذیریها در نظر گرفت. اما متاسفانه اعلام کرد که وصلهی این آسیبپذیریها با انتشار اندروید کیو صورت خواهد گرفت که آن نیز اواخر تابستان سال جاری منتشر میشود. این آسیبپذیریها در بهروزرسانی اندروید کیو، از طریق پنهانکردن اطلاعات موقعیت مکانی در عکسها و همچنین، اجباریشدن دریافت مجوز برای برنامههایی که به Wi-Fi دسترسی دارند، وصله خواهند شد.
تا آن زمان، به کاربران توصیه میشود که به برنامههای شخص ثالث اعتماد نکرده و تنظیمات مجوز موقعیت مکانی و شناسایی را برای برنامههایی که بهطور واقعی به آنها نیاز ندارند، خاموش کنند. همچنین، توصیه میشود برنامههایی را که بهطور مرتب استفاده نمیکنند، حذف نمایند.