پنجشنبه ۰۶ دی ۱۴۰۳ - ساعت :
۱۳ دی ۱۳۹۵ - ۱۲:۱۰

اطلاعات تو از من، استفاده من از تو

بسیاری از اپلیکیشن‌های اندرویدی چه ایرانی و چه خارجی با دریافت یک‌سری مجوزهای حساس با استفاده از مهندسی اجتماعی یا نداشتن آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند.
کد خبر : ۳۴۱۳۸۲
صراط: بسیاری از اپلیکیشن‌های اندرویدی چه ایرانی و چه خارجی با دریافت یک‌سری مجوزهای حساس با استفاده از مهندسی اجتماعی یا نداشتن آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند.

به گزارش صبح نو، بسیاری از اپلیکیشن‌های اندرویدی چه ایرانی و چه خارجی با دریافت یک‌سری مجوزهای حساس با استفاده از مهندسی اجتماعی یا نداشتن آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید از کاربران پرسیده شود این است که آیا شما تابه‌حال مجوزهای درخواستی اپلیکیشن های اندرویدی را قبل از نصب مطالعه کرده‌اید؟

تعداد افرادی که این مجوزها را مطالعه می‌کنند انگشت‌شمار هستند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند. به همین دلیل توسعه‌دهندگان اپلیکیشن‌ها با توجه به نبود آگاهی و نیز بی‌توجهی بیشتر کاربران، مجوزهایی را از کاربران می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) با ارائه گزارشی درخصوص آگاه‌سازی کاربران، نسبت به اپلیکیشن‌هایی که درخواست ورود به اطلاعات موجود در گوشی کاربر را دارند، هشدار داد.

یک اعلام عمومی برای دسترسی به تمام اطلاعات گوشی

مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاع‌رسانی را به کاربران اعلام می‌دارند. هنگامی‌که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم یک پنجره پاپ آپ ظاهر می‌شود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش می‌گذارد که این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند. شاید رد کردن یا تفویض مجوزهای درخواستی برنامه کاربردی در حال نصب ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده اپلیکیشن را درک کرد.

درخواست 127 مجوز ورود فقط توسط یک اپلیکیشن

مستندسازی مجوزها آن‌هم با وجود تنوع زیاد مجوزها و نیازمندی‌های متفاوت برنامه‌های کاربردی از کاربران بسیار سخت است. مرکز ماهر با ارائه گزارشی، مجوزهای برنامه‌های موجود در فروشگاه گوگل پلی (Google Play ) را با تمرکز ویژه روی مجوزهایی که به‌صورت بالقوه به برنامه کاربردی این اجازه را می‌دهند تا اطلاعات شخصی کاربر را جمع‌آوری یا به اشتراک بگذارند، بررسی کرده است.
درمجموع با بررسی یک میلیون و 41 هزار و 336 برنامه کاربردی و اپلیکیشن در این آزمایش عنوان شد که تنها 235 مجوز انحصاری و خاص وجود داشته است. بیشتر برنامه‌های کاربردی مجوزهای زیادی را طلب می‌کنند و بیشترین تعداد مجوزهای درخواستی از برنامه‌های کاربردی این آزمون تعداد 127 مجوز بوده است که برای یک برنامه کاربردی مقدار بسیار زیادی است.
برنامه‌های کاربردی دیگری هم هستند که تعداد انگشت‌شماری مجوز درخواست می‌کنند که میانگین مجوزهای درخواستی از یک برنامه کاربردی تنها 5 مجوز بوده است. در این گزارش تحلیلی باید اشاره کرد که 100 هزار برنامه نیز مجوزی را درخواست نکرده‌اند.

بیشترین مجوزهای برنامه‌های کاربردی در فروشگاه Google Play

برمبنای بررسی‌های به عمل آمده، 83 درصد از اپلیکیشن های اندروید در زمان نصب خواستار دسترسی کامل به شبکه‌(Full network access)، 69 درصد خواستار مشاهده ارتباطات شبکه‌(View network connections) ، 54 درصد خواستار دسترسی به حافظه حفاظت‌شده‌(Test access to protected storage) ، 27 درصد خواستار مجوز برای جلوگیری از به خواب رفتن گوشی (Prevent device from sleeping) و 21 درصد خواستار کنترل لرزاننده (Control vibration) هستند که به نوعی مجوز سخت‌افزاری محسوب می‌شود.
این درحالی است که 54 درصد از اپلیکیشن های اندرویدی خواستار تنظیم یا حذف محتوای موجود روی حافظه، 35 درصد خواستار خواندن وضعیت تلفن و هویت (Read phone status and identity) و دسترسی به ویژگی‌های تلفن، 24 درصد خواستار مشاهده موقعیت مکانی دقیق(مبتنی بر GPS و شبکه) و 23 درصد نیز خواستار مشاهده ارتباطات بی‌سیم Wi-Fi و 21 درصد خواستار دریافت مجوز برای موقعیت تقریبی(مبتنی بر شبکه) هستند که به نوعی مجوز دریافت اطلاعات کاربر محسوب می‌شود.

اپلیکیشن‌هایی که به تمامی اطلاعات کاربر دسترسی دارند

از مجموع 235 مجوز که در این گزارش تحلیلی شناسایی شده‌اند تنها 10 مجوز توسط 20درصد برنامه‌های کاربردی موجود در Google Play مورداستفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامه‌های کاربردی درخواست شده‌اند. اگر بخواهیم به‌صورت آماری نگاه کنیم تعداد 1000 برنامه از مجموع یک میلیون و 41 هزار و 336 برنامه که 9 صدم درصد از تعداد کل برنامه‌های کاربردی مورد تحلیل را شامل می‌شوند، مقدار 147 مجوز از مجموع 235 مجوز را درخواست کرده‌اند که با توجه به کل برنامه‌های مورد ارزیابی، مقدار زیادی از مجوزها را پوشش می‌دهند.

البته باید این نکته را نیز اضافه کرد که مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را می‌تواند داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت!

درخواست مجوزهایی که شایع‌ترند

تحلیل ذکرشده به بررسی عمیق‌تر روی اپلیکیشن به‌ویژه نوع مجوزهای درخواستی آن‌ها در فروشگاه Google Play می‌پردازد. به‌طور ویژه مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند که شامل مجوزهایی که به برنامه کاربردی این اجازه را می‌دهند تا به اطلاعات کاربر دسترسی داشته باشند و مجوزهایی که به برنامه کاربردی اجازه می‌دهند تا به‌صورت مستقیم با دستگاه تعامل داشته باشند، می‌شود.

مرکز ماهر تاکید کرده است که تعریف «اطلاعات کاربر» یک تعریف عام از اطلاعات کاربر است. مجوزهایی که جهت دریافت اطلاعات کاربر صادر می‌شوند، فرض شده‌اند که هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد. به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاماً بخش مشخصی از سخت‌افزار نخواهد بود.

براین اساس برآوردها نشان می‌دهد که در فروشگاه اپلیکیشن های اندروید، از 235 مجوز انحصاری جمع‌آوری‌شده در این تحلیل، 165 نوع از آن‌ها به برنامه کاربردی اجازه می‌دهند تا با اجزای سخت‌افزاری یک دستگاه تعامل داشته باشند و سخت‌افزار دستگاه را تحت کنترل قرار می‌دهند و به برنامه اجازه دسترسی دیگری از جمله اطلاعات کاربر را نخواهد داد.
به‌عنوان‌مثال دو نمونه از عمومی‌ترین مجوزها به اپلیکیشن اجازه اتصال به اینترنت را می‌دهند. مجوز «دسترسی کامل به شبکه» (که توسط 83درصد برنامه‌های کاربردی مورداستفاده قرار می‌گیرند) به اپلیکیشن این اجازه را می‌دهد تا با هر شبکه‌ای که دستگاه به آن متصل است ارتباط برقرار کند.

درحالی‌که مجوز «مشاهده ارتباطات شبکه» (که توسط 69درصد برنامه‌های کاربردی مورداستفاده قرار می‌گیرند) به اپلیکیشن این اجازه را می‌دهد تا هر شبکه‌ای را که دستگاه به آن دسترسی دارد ببیند.
باید توجه داشت که هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هردو مجوز «اطلاعات کاربر» و «مجوز سخت‌افزار» نیاز داشته باشد. درحالی‌که این دو مجوز به‌شدت فراگیر هستند اما اجازه دسترسی مستقیم به اطلاعات کاربر را به اپلیکیشن نمی‌دهند.