بیش از هزار اپلیکیشن اندرویدی بعد از قطع دسترسی، اطلاعات کاربر را جمع‌آوری می‌کنند

بررسی‌های کمیته‌ی تجارت فدرال آمریکا نشان می‌دهد بیشتر از هزار اپلیکیشن اندرویدی وجود دارد که باوجود قطع شدن دسترسی آن‌‌ها به برخی اطلاعات از طرف کاربر، همچنان و بدون اطلاع کاربر اقدام به جمع‌آوری این اطلاعات می‌کنند.

نتایج این تحقیقات نشان می‌‌دهد حفظ حریم خصوصی در حال حاضر کار بسیار دشواری خواهد بود؛ به‌خصوص اگر کاربر وابستگی زیادی به گوشی تلفن همراه و اپلیکیشن‌های روی آن داشته باشد. شرکت‌های فناوری اطلاعات شخصی میلیون‌ها کاربر، ازجمله محل‌هایی که کاربر در آن‌ها حضور داشته، افرادی که با آن‌ها در ارتباط بوده و نوع علاقه‌مندی‌های او را جمع‌آوری می‌کنند.

بیشتر از هزار و ۳۰۰ اپلیکیشن اندرویدی مشغول سرقت اطلاعات کاربران هستند

نهادهای قانون‌گذاری دچار سردرگمی شده‌اند زیرا با توجه به قوانین مرتبط با حریم خصوصی، کاربر باید بتواند میزان اطلاعاتی که در اختیار یک اپلیکیشن قرار می‌دهد را مدیریتکند. اپل و گوگل اخیرا امکانات جدیدی معرفی کرده‌اند که به افزایش امنیت حریم خصوصی افراد کمک می‌کنند اما به نظر می‌رسد اپلیکیشن‌ها راه‌های دور زدن این دیوارهای محافظتی را پیدا کرده‌اند.

نتایج تحقیقات مؤسسه‌ی بین‌المللی علوم کامپیوتر نشان می‌دهد تعداد این اپلیکیشن‌ها ۱۳۲۵ عدد است. سرج اگلمن، مدیر بخش امنیت کاربردی و تحقیقات حریم خصوصی این مؤسسه ماه ژوئن گذشته نتایج این تحقیقات را ارائه کرد. او در این‌باره گفت:

اساسا کاربران ابزارهای بسیار محدودی برای کنترل منطقی حریم خصوصی خود و تصمیم‌گیری درباره‌ی آن در اختیار دارند. اگر توسعه‌دهندگان اپلیکیشن‌ها بتوانند سیستم را دور بزنند، درخواست دسترسی که همیشه از کاربران درخواست می‌کنند، عملا بی‌معنی می‌شود.

اگلمن اعلام کرده بود محققان نتایج بررسی‌های خود را سپتامبر گذشته در اختیار گوگل و همین‌طور کمیته‌ی تجارت فدرال آمریکا قرار داده‌اند. گوگل در پاسخ به این ابراز نگرانی‌ها اعلام کرد که مشکل یادشده را در اندروید Q که انتظار می‌رود سال جاری میلادی منتشر شود، برطرف خواهد کرد.

گوگل اعلام کرد برای حل این مشکل، اطلاعات مربوط‌به موقعیت را که در عکس‌ها قرار دارد، از دسترس اپلیکیشن‌ها خارج می‌کند و همه‌ی اپلیکیشن‌هایی که به وای‌فای دسترسی دارند را مجبور می‌کند تا برای دسترسی به اطلاعات مربوط‌به موقعیت، از کاربر درخواست مجوز کنند.

گوگل می‌گوید کاربران برای حل این مشکل باید تا زمان انتشار اندروید Q منتظر بمانند

تحقیقات حاضر روی بیشتر از ۸۸ هزار اپلیکیشن موجود در گوگل پلی‌استور انجام شده است. در این تحقیقات نحوه‌ی انتقال اطلاعات به اپلیکیشن‌های موردبحث بعد از قطع شدن دسترسی آن‌ها توسط کاربر بررسی شده است. تعداد ۱۳۲۵ اپلیکیشنی که قوانین حریم خصوصی را نقض کرده‌اند، از راه‌حل‌هایی استفاده می‌کنند که به آن‌ها کمک می‌کند کدهای مخرب خود را مخفی کنند. این کدها به اپلیکیشن‌ها اجازه می‌دهد اطلاعات شخصی منابعی مثل ارتباطات وای‌فای و ابرداده‌های انبارشده در عکس‌ها را استخراج کنند.

نتایج تحقیقات نشان می‌دهد اپلیکیشن Shutterfly که یک اپلیکیشن ویرایش و چاپ عکس است، مختصاتGPS را از روی عکس‌ها استخراج می‌کرده و آن‌ها را به سرورهای خودش منتقل می‌کرده است. این روند حتی زمانی‌که کاربر دسترسی این اپلیکیشن به اطلاعات مربوط‌به موقعیت را قطع می‌کره هم ادامه داشته است.

شاترفلای Shutterfly

یکی از سخنگویان Shutterfly اعلام کرده برخلاف نتایج تحقیقات، این اپلیکیشن فقط در زمانی اطلاعات را استخراج می‌کرده که کاربر به آن اجازه دسترسی به اطلاعات مطرح‌شده را می‌داده است.

Shutterfly در بیانیه‌ای اعلام کرد:

Shutterfly هم مانند بسیاری از سرویس‌های عکس، از این اطلاعات برای افزایش رضایت‌مندی کاربران با خدماتی مثل دسته‌بندی و شخصی‌سازی محصولات پیشنهادی استفاده می‌کرده است. تمام این فرایند مطابق با سیاست‌های مرتبط با حریم خصوصی Shutterfly و همین‌طور موافقت توسعه‌دهنده‌ی اندروید بوده است.

بعضی از اپلیکیشن‌هایی که در این تحقیقات بررسی شده‌اند، برای استخراج اطلاعات شخصی کاربر به اپلیکیشن‌های دیگر تکیه داشته‌اند. این اپلیکیشن‌ها با بهره‌گیری از اپلیکیشن‌های دیگر، اطلاعاتی مثل شناسه‌های تلفن همراه نظیر شماره‌ی IMEI را استخراج کرده‌اند. همچنین اپلیکیشن‌های یادشده، اطلاعات محافظت‌نشده‌ی روی کارت حافظه‌ی جانبی دستگاه را بررسی کرده‌اند و به اطلاعاتی که اجازه‌ی دسترسی به آن‌ها نداشته‌اند، دست پیدا کرده‌اند. در واقع اگر کاربر به اپلیکیشنی اجازه می‌داد به اطلاعات شخصی او دسترسی داشته باشد، این اپلیکیشن‌های جاسوس هم به همان اطلاعات دسترسی پیدا می‌کردند.

هرچند فقط ۱۳ اپلیکیشن از مجموع اپلیکیشن‌های بررسی‌شده در این تحقیقات چنین ترفندی را انجام می‌دادند اما همان ۱۳ اپلیکیشن بیشتر از ۱۷ میلیون بار نصب شده‌اند. محققان می‌گویند اپلیکیشن Hong Kong Disneyland park محصول شرکت Baidu هم در میان این اپلیکیشن‌ها جای می‌گیرد.

محققان می‌گویند تعداد ۱۵۳ اپلیکیشن از مجموع اپلیکیشن‌هایی که تحت بررسی قرار گرفته‌اند، قابلیت استفاده از ترفند یادشده را داشته‌اند. اپلیکیشن‌های Health و برنامه‌های مرورگر اینترنت سامسونگ که روی بیشتر از ۵۰۰ میلیون تلفن همراه نصب شده‌اند هم جزو این اپلیکیشن‌ها هستند.

سایر نرم‌افزارهای مخرب شناسایی‌شده در این تحقیقات با اتصال به وای‌فای و پیدا کردن آدرس مک به اطلاعات کاربران دسترسی پیدا کرده‌اند. این اپلیکیشن‌ها، اپلیکیشن‌هایی هستند که به‌عنوان کنترل‌کننده‌ی هوشمند روتر استفاده می‌شوند و برای کار کردن به اطلاعات مربوط‌به موقعیت کاربر نیازی ندارند.

اگلمن گفت در ماه اوت و در جریان سخنرانی در کنفرانس امنیتی Usenix، جزئیات بیشتر و فهرست کامل این هزار و ۳۲۵ اپلیکیشن را ارائه خواهد کرد.





تاريخ : چهار شنبه 19 تير 1398برچسب:, | | نویسنده : مقدم |