محققان شرکت امنیتی Kryptowire در گزارشی که شرح کامل آن پیش روی حاضران در کنفرانس Black Hat قرار گرفته است ابعاد کاملی را از مشکلات امنیتی و حریم خصوصی که در پرتو خرید گوشیهای هوشمند ارزان قیمت در کمین کاربران است ارائه کردهاند. در این گزارش، حتی نام برخی گوشیهای هوشمند ارزان قیمت بازار که مشکلات امنیتی جدی دارند نیز اعلام شده است.
در ماه جولای، نفوگران و متخصصان امنیتی با حضور در لاس وگاس، نوادا در مجموعهای متنوع از کنفرانسها شامل Black Hat, DEFCON و BSides که با تمرکز روی بحث امنیت و حریم خصوصی کاربران دستگاههای الکترونیکی برگزار میشود شرکت کردند. همه ساله در این کنفرانسها، حفرههای امنیتی طیف وسیعی از دستگاههای الکترونیکی بررسی میشود تا چشماندازهای تازهای در زمینه بحث امنیت استفاده از این دستگاهها و حریم خصوصی کاربران ترسیم شود. به این ترتیب، علاوه بر ارائه مطالب جامع علمی و مستندات کافی، سعی بر آن است تا آگاهسازی کاربران از مشکلات امنیتی دستگاههای الکترونیکی و ارائه راهکار نیز لحاظ شود. در کنفرانس Black Hat سال جاری یکی از مواردی که در دستورکار شرکتها و محققان قرار داشت موضوع بررسی امنیت در گوشیهای هوشمند بود. نکته قابل توجه اینکه متخصصان حاضر در این رویداد با ارائه مدارک و مستندات کافی مدعی شدند برخی از محبوبترین و البته ارزانترین گوشیهای هوشمند حاضر در بازار، از کاربران خود جاسوسی کرده و استانداردها یا خط قرمزهای حریم خصوصی آنها را تحت الشعاع قرار میدهند.
به عنوان مثال، گوشی هوشمند چینی BLU R1 HD که به طور انحصاری از طریق آمازون پرایم به فروش میرسد اطلاعات کاربران را بدون اجازه آنها به سرورهایی مستقر در چین ارسال میکند. در حال حاضر BLU R1 HD با قیمت ۹۹ دلار از طریق آمازون به فروش میرسد اما قیمت این محصول در گذشته به ۵۰ دلار هم رسیده بود. نکته قابل توجه اینکه محصول یادشده، پرفروشترین گوشی هوشمند در میان محصولات ارائه شده توسط آمازون به حساب میآید. یکی دیگر از گوشیهایی که در این بررسیها مشخص شد از کاربران جاسوسی میکند BLU Life One X2 است. درنظر داشته باشید که فروش این گوشیهای هوشمند آلوده تنها از طریق آمازون انجام نشده و دیگر خردهفروشهای بزرگ آمریکا نظیر BestBuy نیز گوشیهای هوشمندی را به فروش میرسانند که اطلاعات کاربران را بدون اجازه آنها به سرورهایی در چین یا کشورهای دیگر انتقال میدهد. از جمله این محصولات میتوان به BLU Grand M اشاره کرد که قیمتی بین ۶۰ تا ۷۵ دلار دارد.
محققان شرکت Kryptowire در سخنرانی خود در Black Hat USA 2017 مطلبی را با عنوان "تمام پیامکها و لیست مخاطبان شما به جاسوس افزار Adups و نمونههای مشابه تعلق دارد" پیش روی حاضران قرار دادند. بدنیست بدانید Kryptowire از شرکتهای همکار سازمان امنیت ملی آمریکا به حساب می آید اما در خصوص این بررسی، محققان این شرکت، پژوهش و بررسی مستقل از نهاد یادشده را انجام دادهاند.
شرکت چینی که این راه فرار یا Backdoor را در گوشیهای چینی ادغام کرده، Shanghai Adups Technology نام دارد. در سال ۲۰۱۶ میلادی نیز اعلام شده بود گوشی های هوشمند تولیدی BLU با سرورهایی در چین ارتباط برقرار میکنند. در آن سال، نماینده این شرکت اعلام کرد ارسال اطلاعات، به اشتباه و به طور سهوی صورت گرفته است. در ادامه نیز مدیرعامل BLU مدعی شد مشکل به طور کامل برطرف شده است و دستگاههای تولیدی این شرکت، از این پس با سرورهای چینی ارتباط برقرار نخواهند کرد.
با وجود این، برخلاف ادعای مسئولان Adups و BLU، محققان شرکت امنیتی Kryptowire در بررسیهای خود به این نتیجه رسیدهاند که نرمافزار Adups همچنان روی دستگاههای تولیدی BLU حاضر بوده و ارسال اطلاعات به سرورهای چینی را بدون آگاه کردن کاربران انجام میدهد. محققان Kryptowire مدعی شدهاند حداقل سه مدل گوشی هوشمند را رصد کردهاند که همچنان با سرورهای کنترل و فرمان در چین که مدیریت آنها در دست Adups است ارتباط دارند. Ryan Johnson از محققان امنیتی Kryptowire در گفتگو با وبسایت CNET در این خصوص میگوید:
راهکارهای قدیمی Adups با نسخههای جدیدتر و جذابتر جایگزین شده است. ما موفق شدیم در زمان برقراری ارتباط این گوشیها با سرورهای چینی، ترافیک شبکه آنها را رصد کنیم.
بَک دُر جدیدی که توسط Adups در گوشیهای هوشمند ارزان قیمت ادغام شده امکان اجرای از راه دور فرامین، نصب و حذف برنامهها، گرفتن اسکرین شات، ضبط گزارش تماسها و پیامکها و حتی پاک کردن کامل اطلاعات گوشی را بدون کسب اجازه از کاربر و از کیلومترها دورتر فراهم میکند. این راهکار حتی امکان ارسال شناسههای دستگاه نظیر آدرس مک، IMSI، IMEI و شماره سریال را نیز فراهم میکند. حتی این امکان وجود دارد که موقعیت مکانی کاربر، از طریق اطلاعاتی که از دکلهای مخابراتی دریافت میشود، مشخص شده و به سرورها ارسال گردد.
در خلال این تحقیقات، محققان Kryptowire فیرمویر بیش از ۲۰ گوشی هوشمند ارزان قیمت را بررسی کردند. نکته قابل توجه اینکه تمامی دستگاههای یادشده، حفرههای امنیتی خطرناکی داشته و نکته مهمتر اینکه تمامی مدلهای یادشده از چیپستهای مدیاتک بهرهمند شده بودند. مشکلات امنیتی این دستگاهها به نحوی است که امکان جاسوسی نفوذگران و سرقت اطلاعاتی نظیر تاریخچه مرورگر و موقعیت مکانی را فراهم میکنند.
مسئله اینجاست که مدیاتک نیز در روندی مشابه با Adups، سال گذشته میلادی اعلام کرده بود مشکلات امنیتی دستگاههای مجهز به تراشههای این شرکت را به طور تمام و کمال برطرف کرده است. با وجود این، Kryptowire در گزارش خود مدعی شده BLU Advance 5.0 در حالی به فروش میرسد که به بدافزار MTKLogger آلوده است. BLU Advance 5.0 در رده سوم محبوبترین گوشیهای هوشمند آمازون قرار گرفته است. طراحی این گوشی هوشمند از منظر نرمافزاری به گونهای است که امکان به روزرسانی فیرمویر را به کاربر نمیدهد.
Cubot X16S یکی دیگر از گوشیهای هوشمندی است که با مشکلات امنیتی و حریم خصوصی مشابهی پیش روی خریداران قرار میگیرد. این در حالی است که دو شرکت چینی بزرگ و فعال در حوزه تولید گوشیهای هوشمند یعنی هواوی و ZTE نیز در مظان اتهام فروش گوشیهای هوشمند با مشکلات امنیتی و حریم خصوصی مشابه قرار گرفتهاند. بدنیست بدانید Adups از جمله شرکای نرمافزاری Huawei و ZTE به حساب میآید.
در سالهای اخیر کمیته تحقیق و تفحصی متشکل از نمایندگان دولت آمریکا، بررسی عملکرد این دو برند را در خصوص ادعای مطرح شده در خصوص وجود بکدر در محصولات به فروش رسیده توسط این دو شرکت، در دستورکار قرار داده است.
محققان Kryptowire مدعی شدهاند هیچ بک در ادغام شده توسط Adups، در گوشیهای هوشمندی که با قیمتی بیش از ۳۰۰ دلار به فروش میرسند رصد نشده است. یکی از دلایل این امر آن است که Adups معمولاً تامین کننده نرمافزاری برای شرکتهایی به حساب میآید که گوشیهای هوشمند ارزانقیمت تولید میکنند. محققان Kryptowire از سرنوشت اطلاعاتی که به سرورهای Adups ارسال میشوند ابراز بیاطلاعی کردهاند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت