چگونه یک اپلیکیشن اندرویدی می تواند بدون اجازه، اطلاعات شخصی شما را ارسال کند
اپلیکیشن CoolIris گالری و آلبوم عکسی است که پیش فرض در بیشتر دستگاه های اندرویدی با نسخه های2.1 و 2.3 توسط کاربران استفاده می شود. این گالری به تازگی راهی برای ذخیره نسخه کپی و رمزگذاری نشده نشانی های کامل پیدا کرده است که به صورت تئوری، از طریق بدافزارها و بدون دریافت اجازه نامه از کاربر می توانند منتقل شوند.
این قضیه طی تحقیق فردی به نام «پاول بوردر» از گروه امنیتی لویاتان در زمینه مشکلات امنیتی سیستم عامل آندروید کشف شد. بوردر، اپلیکیشنی به نام «No Permissions» طراحی و ساخته است. این برنامه معایب سیستم اجازه نامه یا permission اندروید که منجر به دسترسی به اطلاعات شخصی کاربران بدون اجازه آنها می شود را مشخص می کند. به این ترتیب که اگر کاربر به برنامه ای اجازه دسترسی ندهد، خیالش راحت است که آن برنامه به اطلاعات شخصیاش دسترسی پیدا نمی کند. اما بوردر فهرستی بلندبالا از اپلیکیشن ها تهیه کرده و نشان می دهد نرم افزارهای بسیاری هستند که بدون اجازه روی گوشی یا دستگاه اندرویدی نصب می شوند و روح کاربر هم از خطرناک بودن آنها خبردار نیست.
اگر از کاربران اندروید باشید، حتما می دانید که این سیستم عامل اپلیکیشن ها را درون «سندباکس» نگه می دارد و همه برنامههای دانلود شده را مجبور می کند تا برای داشتن اطلاعات شخصی کاربر همچون حساب های اینترنتی، شماره های تماس تلفنی، موقعیت مکانی یا تماس های گوشی، اجازه بگیرند. درون سندباکس بودن یا اصطلاحا سندباکسینگ، در واقع روشی برای افزایش امنیت کاربران است. در این روش، سیستم عامل اندروید میان نرم افزارهای موجود در گوشی و نسخههای دانلود شده، دیواری مجازی ایجاد می کند. به این ترتیب، اگر کابر بدون آگاهی بدافزاری را روی دستگاه خود دانلود کند، آن ویروس نمی تواند به بخش های دیگر دستگاه برود و از اطلاعات آن استفاده کند. در واقع ارتباط برنامه های دانلودی را با اپلیکیشن های دیگر دستگاه محدود و تقریبا قطع می کند.
گرفتن اجازه یا permission برای دسترسی به اطلاعات نیز شیوه اصلی اندروید برای مدیریت دانلودهایش است. به طور مثال، اگر یک بازی هنگام دانلود از شما اجازه دسترسی به دفترچه تلفن یا اطلاعات مخاطبین موجود در گوشی را خواست، می توانید تشخیص بدهید که اپلیکیشن مورد نظر، به احتمال زیاد یک بدافزار است زیرا یک بازی به اطلاعات دفترچه تلفن گوشی نیازی ندارد.
نخستین موردی که در گزارش این محقق ذکر شده، امنیت فایل ها است. اپلیکیشن «No Permissions» قادراست حافظه داخلی دستگاه و حافظه هایSDجانبی آن را اسکن کند و در نتیجه فهرستی از فایل های پنهان نشده را در اختیار کاربر قرار دهد. این فایل ها می توانند حاوی اطلاعات بسیار حساس از کاربر باشند. این نرم افزار همچنین فهرستی از اپلیکیشن ها را در اختیار کاربر می گذارد که می توانند به بدافزارها بگوید کجا باید دنبال اطلاعات شخصی و کاربردی کاربر بگردد.
چه نوع اطلاعاتی ممکن است در اختیار بدافزارها قرا بگیرد؟ در بررسی های متعددی که با آزمایش چندین دستگاه صورت گرفته، معلوم شد عکس ها بیشتر از دیگر اطلاعات در معرض حمله بدافزارهای موبایلی قرار دارند. پس از آن نیز اطلاعات حساب های کاربری، مالی، ایمیلی و همچنین اطلاعاتی همچون کدپستی، نشانی، شماره پلاک خانه کاربر در معرض خطر هستند.
اطلاعات ذکر شده در بالا، مواردی بودند که در حافظه کَش com.cooliris.media پیدا شده اند. گالری اندرویدی CoolIris، گالری پیش فرض بسیاری از دستگاه های اندرویدی با نسخه هایEclair تا نان زنجبیلی و برندهایی همچون سامسونگ، ال جی و نکسوس در سراسر جهان است. اما برندهای همچون HTC یا گوشیRazr موتورولا از گالری متفاوتی استفاده می کنند. همه اطلاعاتی که مربوط به خانه، محل کار، خانواده، دوستان و آشنایان و حتی اطلاعات مربوط به برنامه ریزی های کاربر برای مسافرت که در گوشی خود ذخیره کرده است، نیز در فایلی به نام Chunk_0 ذخیره می شوند. این نوع ذخیره سازی از نظر امنیتی بسیار خطرناک است.
اپلیکیشن گالری عکس در گوشی کاربر نباید اطلاعات مکانی عکس های خصوصی را رمزگشایی و ذخیره کند. دلیلی برای این کار وجود ندارد. همچین اطلاعات جغرافیایی عکس ها همچون GPSها نیستند که ضریب خطا داشته باشند. ژئوتگ عکس ها تا شماره پلاک خانه و اینکه در کدام محله، شهر یا کشور است را در خود نهان دارد و با رمزگشاییشان می توان به طور دقیق مکان گرفته شدن عکس را روی نقشه پیدا کرد. و اینها اطلاعاتی هستند که ما نمی خواهیم در اختیار گوگل، پیکاسا یا حتی خود گوشی موبایل قرار گیرند.
اکنون چاره کار چیست؟ شاید بتوان گفت، اپلیکیشن No Permissions. این نرم افزار بسیار ساده اما موثر است. به این ترتیب که سیستم اجازه دسترسی به اطلاعات اندروید را حسابی در مخمصه قرار می دهد. با اینکه این نرمافزار خودش به اینترنت دسترسی ندارد اما می تواند از طریق مرورگر داخلی اندروید به هر صفحه وبی که می خواهد دسترسی داشته باشد. هنگامی که دسترسی به اینترنت از طریق مرورگر ساخته می شود، این اپلیکیشن می تواند اطلاعات شخصی را به مکانی دور ارسال کند. البته کاربر به وضوح می بیند که مرورگر دستگاهش باز شده است.
مسلما راه ها و حفره های امنیتی متعددی برای نفوذ به سیستم های مبتنی بر اندروید و سرقت اطلاعات شخصی وجود دارند. از جمله آنها باید به نرم افزار بسیار ساده ماشین حساب اشاره کرد. این اپلیکیشن طوری طراحی شده است که برای نمایش راه حل باید به مرورگر داخلی گوشی یا تبلت دسترسی داشته باشد. به همین دلیل هنگام نمایش پاسخ مثلا 2 + 2، می تواند اطلاعات شخصی و محرمانه کابر را نیز بدون اجازه او به یک سرور خارجی منتقل کند. حتی پس از بستن مرورگر، این برنامه همچنان در پس زمینه اجرا می شود و اطلاعات را برای سرور ارسال می کند.
پیرو مشکلات و حفره های امنیتی که در بخش آلبوم و عکس های دستگاه های اندرویدی وجود دارد، گوگل در نظر دارد سیستم اجازه نامه یا پرمیشن نصب اپلیکیشن های اندروید را تقویت کند. به این منظور می خواهد اجازه دسترسی به عکس را به بخش اجازه نامه های نصب اپلیکیشن اضافه کند که در صورت تایید کاربر، آن برنامه به آلبوم عکس دسترسی داشته باشد. البته این می تواند درمانی موقت برای این مشکل بزرگ باشد.
منبع وبسایت نگهبان دات کام.
