۱۰ مرداد ۱۳۹۷

به اشتراک گذاری و افشای اطلاعات در نرم‌افزارهای اندروید

برخی از برنامه‌های تلفن‌همراه می‌توانند تصاویر و ویدیوهای حاصل از فعالیت‌ برنامه‌های تلفن را بدون اطلاع کاربران به اشتراک بگذارند. تحقیقات جدید ادعا می کنند که چندین برنامه اندروید دارای حفره‌های‌امنیتی “هشداردهنده” هستند. (برنامه‌های تلفن‌همراه را قادر می سازد که تصاویر و ویدیو از فعالیت برنامه‌های تلفن را بدون اطلاع کاربران به اشتراک بگذارند.)

مقاله پژوهشی که توسط محققان دانشگاه Northeastern  با بررسی ۱۷۲۶۰ برنامه موبایل از فروشگاه‌های Google Play، AppChina، Mi.com و Anzhi منتشر شد، نشان می‌دهد اگرچه بخش بزرگی از برنامه ها از این توانایی برای ضبط رسانه ها در گوشی های تلفن همراه استفاده نمی کنند، چند نمونه از  این سوء‌استفاده ها و ضبط اطلاعات در برخی نرم‌افزارها کشف شده‌اند.

محققان اعلام کردند: “این مطالعات چندین سیاست حریم خصوصی هشداردهنده در اکوسیستم برنامه اندروید را نشان می‌دهند، من جمله نرم‌افزارهایی که مجوزهای رسانه ای خود را بیش از حد فراهم می‌کنند و برنامه هایی که داده‌های تصویری و ویدئویی را به روش‌های غیرمعمول با بخش‌های دیگر و بدون اطلاع و رضایت کاربر به اشتراک می‌گذارند. در این پژوهش همچنین یک خطای حفظ حریم خصوصی شناسایی شده است، که از کتابخانه‌های شخص ثالث ناشی می‌شود که تصاویر و ویدیوهای روی صفحه را بدون اطلاع دادن به کاربر و بدون نیاز به مجوز، ثبت و آپلود می‌کند.”

محققان روی برنامه‌ها، ترکیبی از تجزیه و تحلیل ایستا (بررسی کد بدون اجرای برنامه) و تجزیه و تحلیل پویا (تست و ارزیابی برنامه با اجرای داده‌ها به صورت بلادرنگ) را استفاده نمودند تا اگر برنامه ای به صورت نامناسب اقدام به جمع آوری اطلاعات و افشای رسانه هایی ازجمله ویدئو یا تصاویر نمود، آن را بیابند. تحقیقات شامل بررسی این موضوع نیز بود که آیا برنامه ها درخواست دسترسی به مجوزهای دوربین و میکروفون هم می‌دهند، آیا API های رسانه‌ای به واقع در کد برنامه اشاره شده اند، آیا تمامی مراجع بالقوه API در کد توسعه برنامه نویس و یا یک کتابخانه شخص ثالث هستند.

 

مجوزهای اندروید و شخص ثالث

یکی از محققین اعلام کرد: “ریسک اصلی زمانی است که توسعه‌دهندگان نرم‌افزارهای اندرویدی از کتابخانه‌های شخص‌ثالث استفاده می‌کنند، که اطلاعی از داده‌هایی که این کتابخانه‌ها جمع‌آوری می‌کنند ندارند. این یک مشکل امنیتی زنجیره ای است که به نظر می رسد به دلیل توجه توسعه دهندگان به اهمیت درآمد از طریق تبلیغات در برنامه‌های موبایل  افزایش یافته است”.

محققان اظهار داشتند که متأسفانه API های دوربین و صدا (API هایی که برای عکس‌برداری و ضبط ویدئو از روی صفحه به مجوز نیاز ندارند)، در صورت نشت اطلاعات و تبادل این اطلاعات با بخش ثالث، به کاربر نهایی هشداری مبنی بر این تبادلات نمی‌دهند.

با توجه به اینکه اطلاعات سنسورها بسیار حساس هستند، سیستم‌عامل‌های اندروید و iOS شامل مکانیسم کنترل دسترسی اجباری در اکثر سنسورها می باشند. با این حال، مدل های موجود به ندرت موجب کاهش نگرانی‌های مربوط به حفظ حریم‌خصوصی چند‌رسانه ای می شوند. زیرا آنها کلی و ناقص هستند.  توسعه‌دهندگان برنامه‌های اندرویدی باید مجوزهایی را که قصد استفاده در AndroidManifest.xml دارند را در همه بسته‌های اندروید (APKs) فهرست نمایند. در ضمن کاربران می‌توانند درخواست‌های مجوزها را رد یا قبول کنند. با این حال، هنگامی که از API های دوربین و صوتی استفاده می‌شود، به دلیل اینکه با مجوزی محافظت نمی‌شوند به‌طور بالقوه می‌توانند بدون اطلاع کاربران، تعاملات صفحه نمایش کاربران را ضبط کنند.

سیاست حفظ حریم‌خصوصی اطلاعات شخصی و حساس گوگل بیان می‌کند که برنامه‌ها باید یک سیاست حفظ حریم‌خصوصی داشته‌ باشند که در صورت فاش شدن اطلاعات در برنامه، به‌طورجامع نحوه جمع‌آوری، استفاده و به اشتراک‌گذاشتن اطلاعات کاربر، از جمله بخش‌هایی که اطلاعات با آنها به اشتراک گذاشته شده است، افشا گردد.

پیش‌گیری

کاربران همواره باید توجه خاصی به مجوزهایی که برنامه‌ها درخواست می‌کنند، داشته باشند. مخصوصا مجوزهای مربوط به سنسورها.

مدیریت مجوز به عنوان مشکلی برای هر دو سیستم عامل پیشرو(اندروید و iOS) شناخته شده است، هم گوگل و هم اپل بهبودهایی در نسخه‌های اخیر خود داشته‌اند. به این صورت که کاربران کنترل بیشتری بر مجوزهایی دارند که به برنامه‌ها می‌دهند.

کاربران می‌توانند مجوزهایی که برنامه‌ها از آنها استفاده می‌کنند را مشاهده کنند. برای اینکار لازم است به مدیریت برنامه ها در گوشی خود رفته و پس از انتخاب برنامه موردنظر در بخش دسترسی‌ها، می‌توانند همه‌ی دسترسی‌های برنامه موردنظر را مشاهده کرده و آنها را فعال یا غیرفعال کنند.

 

مرجع

“Android Apps Are Sharing Screenshots, Video Recordings to Third Parties, Report Finds”, https://threatpost.com/android-app-are-sharing-screenshots-video-recordings-to-third-parties-report-finds/133686/