جمع‌آوری غیرمجاز اطلاعات کاربران توسط بیش از ۱۳۰۰ برنامه‌ی اندرویدی

در دنیای امروز، گوشی‌های هوشمند منبع بسیار باارزشی از اطلاعات حساس محسوب می‌شوند. از طرفی، برنامه‌هایی نیز که بر روی تلفن‌‌های همراه هوشمند نصب می‌شوند، می‌توانند به‌عنوان یک کاوشگر عمل کرده و به‌طور مداوم به جمع‌آوری تمام اطلاعات ممکن از دستگاه‌های کاربران بپردازند. مدل امنیتی سیستم عامل‌های مدرن موبایل، مانند اندروید و iOS، عمدتا براساس مجوزهایی است که به‌صراحت مشخص می‌کند که هر برنامه به کدام‌یک از خدمات حساس، قابلیت‌های دستگاه یا اطلاعات کاربر دسترسی داشته باشد. بنابراین، کاربران این امکان را دارند تا سطح دسترسی هر برنامه را بر روی دستگاه خود تعریف کنند. بااین‌حال، یافته‌های جدید یک تیم تحقیقاتی در مؤسسه‌ی بین‌المللی علوم رایانه در کالیفرنیا نشان می‌دهد که توسعه‌دهندگان برنامه‌های موبایل از تکنیک‌های نادرست برای جمع‌آوری داده‌های کاربران حتی بدون دریافت مجوز از سوی آن‌ها، استفاده می‌کنند.

این محققان در سخنرانی خود تحت عنوان «۵۰ راه برای افشای اطلاعات شما» در کنفرانس PrivacyCon که به میزبانی کمیسیون تجارت فدرال (FTC) برگزار شده بود، با ارائه‌ی یافته‌های خود نشان دادند که چگونه بیش از ۱۳۰۰ برنامه‌ی اندرویدی حتی پس از رد مجوزها توسط کاربران، به جمع‌آوری داده‌های دقیق جغرافیایی و شناسه‌های تلفن آن‌ها می‌پردازند. به گفته‌ی محققان، این برنامه‌ها می‌توانند با دورزدن مدل دریافت مجوز و با استفاده از روش‌های حمله‌ی کانال‌ پنهان و کانال جانبی، بدون رضایت کاربران به داده‌های محافظت‌شده‌ی آن‌ها دسترسی پیدا کنند. این کانال‌ها زمانی رخ می‌دهند که یک ابزار جایگزین برای دسترسی به منابع محافظت‌شده وجود داشته باشد که توسط مکانیزم امنیتی مورد بازرسی قرار نگرفته است.

محققان با مطالعه و بررسی بیش از ۸۸هزار برنامه‌ی موجود در فروشگاه گوگل پلی دریافتند که ۱۳۲۵ برنامه با استفاده از روش‌های جایگزین پنهان، قادر به نقض سیستم دریافت مجوز در سیستم عامل اندروید و دسترسی به داده‌های شخصی کاربران مانند فراداده‌های ذخیره‌شده در تصاویر و اتصالات Wi-Fi هستند. به‌عنوان مثال، محققان متوجه شدند که یک برنامه‌ی ویرایش عکس که Shutterfly نام دارد، داده‌های موقعیت مکانی یک دستگاه را با استخراج مختصات GPS از فراداده‌ی موجود در تصاویر، به‌عنوان یک کانال جانبی، حتی زمانی که کاربران مجوز دسترسی به اطلاعات موقعیت مکانی را رد کرده باشند، جمع‌آوری می‌کند. علاوه‌براین، لازم به ذکر است که اگر یک برنامه بتواند به موقعیت مکانی کاربر دسترسی پیدا کند، تمام سرویس‌های شخص ثالثی نیز که در آن برنامه تعبیه شده‌اند، این قابلیت را خواهند داشت.

محققان همچنین ۱۳ برنامه‌ی دیگر با بیش از ۱۷ میلیون بار نصب را شناسایی کردند که به کد IMEI تلفن‌های همراه دسترسی پیدا می‌کنند. به گفته‌ی محققان، کتابخانه‌های شخص ثالثی نیز که توسط دو شرکت چینی Baidu و Salmonads ارائه می‌شوند، از این تکنیک به‌عنوان یک کانال پنهان برای جمع‌آوری داده‌ها بدون رضایت کاربر استفاده می‌کنند. در سایر برنامه‌ها نیز از آدرس مک (آدرس فیزیکی) نقاط دسترسی به Wi-Fi، برای شناسایی موقعیت مکانی کاربر استفاده می‌شود.

محققان در بررسی‌های خود، با موفقیت این برنامه‌ها را بر روی نسخه‌هایی از اندروید مارشمالو و پای آزمایش کردند. آن‌ها یافته‌های خود را در ماه سپتامبر سال گذشته به گوگل گزارش دادند و این شرکت نیز پاداشی را برای این گروه به‌دلیل کشف این آسیب‌پذیری‌ها در نظر گرفت. اما متاسفانه اعلام کرد که وصله‌ی این آسیب‌پذیری‌ها با انتشار اندروید کیو صورت خواهد گرفت که آن نیز اواخر تابستان سال جاری منتشر می‌شود. این آسیب‌پذیری‌ها در به‌روزرسانی اندروید کیو، از طریق پنهان‌کردن اطلاعات موقعیت مکانی در عکس‌ها و همچنین، اجباری‌شدن دریافت مجوز برای برنامه‌هایی که به Wi-Fi دسترسی دارند، وصله خواهند شد.

تا آن زمان، به کاربران توصیه می‌شود که به برنامه‌های شخص ثالث اعتماد نکرده و تنظیمات مجوز موقعیت مکانی و شناسایی را برای برنامه‌هایی که به‌طور واقعی به آن‌ها نیاز ندارند، خاموش کنند. همچنین، توصیه می‌شود برنامه‌هایی را که به‌طور مرتب استفاده نمی‌کنند، حذف نمایند.

منبع

پست‌های مشابه

Leave a Comment