خطر نفوذ به گوشی‌های اندرویدی

به گزارش خبرگزاری دانا، امروزه با توجه به تولید انبوه برنامه‌های کاربردی و اپلیکیشن های اندرویدی و ارائه آن‌ها در بازارهای ایرانی و خارجی و همچنین دانش اندک بیشتر کاربران سیستم‌عامل اندروید، باید در مورد خطرات احتمالی آن دست از برنامه‌هایی که تهدیداتی را برای کاربران موبایلهای اندرویدی ایجاد می‌کنند اطلاع‌رسانی شود.

بسیاری از اپلیکیشن های اندرویدی چه ایرانی و چه خارجی با دریافت یکسری مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید از کاربران پرسیده شود این است که آیا شما تابه‌حال مجوزهای درخواستی اپلیکیشن های اندرویدی را قبل از نصب مطالعه کرده‌اید؟

تعداد افرادی که این مجوزها را مطالعه می‌کنند انگشت‌شمار هستند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند. به همین دلیل توسعه دهندگان اپلیکیشن ها با توجه به عدم آگاهی و نیز بی‌توجهی بیشتر کاربران، مجوزهایی را از کاربران می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (مرکز ماهر) با ارائه گزارشی درخصوص آگاه‌سازی کاربران، نسبت به اپلیکیشن هایی که درخواست ورود به اطلاعات موجود در گوشی کاربر را دارند، هشدار داد.

یک اعلام عمومی برای دسترسی به تمام اطلاعات گوشی

در ابتدا باید عنوان کرد که مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاع‌رسانی را به کاربران اعلام می‌دارند. هنگامی‌که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم یک پنجره پاپ آپ ظاهر می‌شود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش می‌گذارد که این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند.

شاید رد کردن یا تفویض مجوزهای درخواستی برنامه کاربردی در حال نصب ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده اپلیکیشن را درک کرد.

بیشتر شرکت‌های اینترنتی از متدهای عمومی مشابهی برای آگاه‌سازی کاربران در خصوص داده‌هایی که قرار است مورداستفاده قرار گیرند بهره می‌برند. در سیستم‌عامل اندروید یک ارتباط سه سویه بین کاربر، گوگل (طراح و ارائه‌دهنده سیستم‌عامل اندروید) و توسعه‌دهندگان برنامه کاربردی شخص سوم وجود دارد.

گوگل درواقع ارتباط بین کاربر و توسعه‌دهندگان شخص سوم را با استفاده از مجموعه‌ای از مجوزها برای هر برنامه کاربردی دانلود شده توسط کاربر، مدیریت می‌کند. مجوزها درواقع نیازمندی‌های توسعه‌دهندگان را برای چگونگی تعامل برنامه کاربردی تولیدشده با دستگاه کاربر مشخص کرده و دسترسی به نوع اطلاعات درخواستی برنامه کاربردی را نیز تعیین خواهد کرد.

در اکوسیستم اندروید بیشترین فشار روی توسعه‌دهندگان است تا مجوزهایی که به کاربر نشان داده می‌شوند، نحوه کار برنامه کاربردی را به‌درستی انتخاب و به نمایش بگذارند. پس‌از اینکه توسعه‌دهنده برنامه کاربردی یک برنامه را ایجاد کرد، مجوزهای صحیح را به‌درستی انتخاب کرد و لیستی از کاربران هدفی که درنهایت با این مجوزها موافقت کرده اند را تهیه کرد، گوگل برنامه کاربردی تولیدی را به‌منظور شناسایی بدافزار و تشخیص کدهای مخرب مورد ارزیابی قرار خواهد داد.

محدوده مجوزها برای تعامل برنامه کاربردی و اپلیکیشن از اجازه دسترسی به بخش ویژه‌ای از سخت‌افزار دستگاه (به‌عنوان‌مثال فلش دوربین عکاسی) آغاز می‌شود و تا دسترسی به لیست مخاطبان کاربر ادامه می‌یابد. کاربر نیز باید با تمام مجوزهای لیست شده قبل از نصب برنامه کاربردی موافقت کند.

درخواست ۱۲۷ مجوز ورود فقط توسط یک اپلیکیشن

مستندسازی مجوزها آن‌هم با وجود تنوع زیاد مجوزها و نیازمندی‌های متفاوت برنامه‌های کاربردی از کاربران بسیار سخت است.

مرکز ماهر با ارائه گزارشی، مجوزهای برنامه‌های موجود در فروشگاه گوگل پلی (Google Play ) را با تمرکز ویژه روی مجوزهایی که به‌صورت بالقوه به برنامه کاربردی این اجازه را می‌دهند تا اطلاعات شخصی کاربر را جمع‌آوری و یا به اشتراک بگذارند، بررسی کرده است.

درمجموع با بررسی یک میلیون و ۴۱ هزار و ۳۳۶ برنامه کاربردی و اپلیکیشن در این آزمایش عنوان شد که تنها ۲۳۵ مجوز انحصاری و خاص وجود داشته است. بیشتر برنامه‌های کاربردی مجوزهای زیادی را طلب می‌کنند و بیشترین تعداد مجوزهای درخواستی از برنامه‌های کاربردی این آزمون تعداد ۱۲۷ مجوز بوده است که برای یک برنامه کاربردی مقدار بسیار زیادی است.

برنامه‌های کاربردی دیگری هم هستند که تعداد انگشت‌شماری مجوز درخواست می‌کنند که میانگین مجوزهای درخواستی از یک برنامه کاربردی تنها ۵ مجوز بوده است. در این گزارش تحلیلی باید اشاره کرد که ۱۰۰ هزار برنامه نیز مجوزی را درخواست نکرده‌اند.

بیشترین مجوزهای برنامه‌های کاربردی در فروشگاه Google Play

برمبنای بررسی های به عمل آمده، ۸۳ درصد از اپلیکیشن های اندروید در زمان نصب خواستار دسترسی کامل به شبکه (Full network access)،  ۶۹ درصد خواستار مشاهده ارتباطات شبکه (View network connections) ، ۵۴ درصد خواستار دسترسی به حافظه حفاظت‌شده (Test access to protected storage) ، ۲۷ درصد خواستار مجوز برای جلوگیری از به خواب رفتن گوشی (Prevent device from sleeping) و ۲۱ درصد خواستار کنترل لرزاننده (Control vibration) هستند که به نوعی مجوز سخت افزاری محسوب می شود.

این درحالی است که ۵۴ درصد از اپلیکیشن های اندرویدی خواستار تنظیم یا حذف محتوای موجود روی حافظه، ۳۵ درصد خواستار خواندن وضعیت تلفن و هویت (Read phone status and identity) و دسترسی به ویژگی‌های تلفن، ۲۴ درصد خواستار مشاهده موقعیت مکانی دقیق(مبتنی بر GPS و شبکه) و ۲۳ درصد نیز خواستار مشاهده ارتباطات بی‌سیم Wi-Fi و ۲۱ درصد خواستار دریافت مجوز برای موقعیت تقریبی(مبتنی بر شبکه) هستند که به نوعی مجوز دریافت اطلاعات کاربر محسوب می شود.

اپلیکیشن هایی که به تمامی اطلاعات کاربر دسترسی دارند

از مجموع ۲۳۵ مجوز که در این گزارش تحلیلی شناسایی شده‌اند تنها ۱۰ مجوز توسط ۲۰درصد برنامه‌های کاربردی موجود در Google Play مورداستفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامه‌های کاربردی درخواست شده‌اند.

اگر بخواهیم به‌صورت آماری نگاه کنیم تعداد ۱۰۰۰ برنامه از مجموع یک میلیون و ۴۱ هزار و ۳۳۶ برنامه که ۹ صدم درصد از تعداد کل برنامه‌های کاربردی مورد تحلیل را شامل می‌شوند، مقدار ۱۴۷ مجوز از مجموع ۲۳۵ مجوز را درخواست کرده‌اند که با توجه به کل برنامه‌های مورد ارزیابی، مقدار زیادی از مجوزها را پوشش می‌دهند.

البته باید این نکته را نیز اضافه کرد که مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را می‌تواند داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت!

درخواست مجوزهایی که شایع ترند

تحلیل ذکرشده به بررسی عمیق‌تر روی اپلیکیشن به‌ویژه نوع مجوزهای درخواستی آن‌ها در فروشگاه Google Play می‌پردازد.

به‌طور ویژه مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند که شامل مجوزهایی که به برنامه کاربردی این اجازه را می‌دهند تا به اطلاعات کاربر دسترسی داشته باشند و مجوزهایی که به برنامه کاربردی اجازه می‌دهند تا به‌صورت مستقیم با دستگاه تعامل داشته باشند، می شود.

مرکز ماهر تاکید کرده است که تعریف «اطلاعات کاربر» یک تعریف عام از اطلاعات کاربر است. مجوزهایی که جهت دریافت اطلاعات کاربر صادر می‌شوند، فرض شده‌اند که هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد. به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاما بخش مشخصی از سخت‌افزار نخواهد بود.

براین اساس براوردها نشان می دهد که در فروشگاه اپلیکیشن های اندروید، از ۲۳۵ مجوز انحصاری جمع‌آوری‌شده در این تحلیل، ۱۶۵ نوع از آن‌ها به برنامه کاربردی اجازه می‌دهند تا با اجزای سخت‌افزاری یک دستگاه تعامل داشته باشند و سخت‌افزار دستگاه را تحت کنترل قرار می‌دهند و به برنامه اجازه دسترسی دیگری از جمله اطلاعات کاربر را نخواهد داد.

به‌عنوان‌مثال دو نمونه از عمومی‌ترین مجوزها به اپلیکیشن اجازه اتصال به اینترنت را می‌دهند. مجوز «دسترسی کامل به شبکه» (که توسط ۸۳درصد برنامه‌های کاربردی مورداستفاده قرار می‌گیرند) به اپلیکیشن این اجازه را می‌دهد تا با هر شبکه‌ای که دستگاه به آن متصل است ارتباط برقرار کند.

درحالی‌که مجوز  «مشاهده ارتباطات شبکه» (که توسط ۶۹درصد برنامه‌های کاربردی مورداستفاده قرار می‌گیرند) به اپلیکیشن این اجازه را می‌دهد تا هر شبکه‌ای که دستگاه به آن دسترسی دارد را ببیند.

باید توجه داشت که هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هردو مجوز «اطلاعات کاربر» و «مجوز سخت‌افزار» نیاز داشته باشد. درحالی‌که این دو مجوز به‌شدت فراگیر هستند اما اجازه دسترسی مستقیم به اطلاعات کاربر را به اپلیکیشن نمی‌دهند.