اپلیکیشن های اندروید مجوزهای دسترسی را دور می زنند

توضیحات: خبات کریمی; دسته: اخبار امنیت; 18 تیر 1398 16:00

بر روی گوشی خود یک اپلیکیشن نصب می‌کنید اما با درخواست مجوزهای حساس چون دسترسی به حافظه، موقعیت مکانی، دوربین یا میکروفن مواجه می‌شوید. در صورتی که به آن اپلیکیشن اعتماد نداشته باشید، درخواست‌ها را نادیده می‌گیرید و خیالتان آسوده می‌شود. در یک خبر بد پژوهشگران نشان داده‌اند در سیستم عامل اندروید بازهم راه برای دست یابی به مجوزها وجود دارد و اپلیکیشن ها به طور گسترده در حال سوء استفاده از آن هستند.

این تصور در بین عامه کاربران وجود دارد که اپلیکیشن های قرار گرفته بر روی فروشگاه‌های گوگل و اپل حاوی کُدهای مخرب نیستند. هر دو اپل و گوگل هم اپلیکیشن ها را مجبور کرده‌اند برای دسترسی به اطلاعات حساس، از کاربر اجازه بگیرند. با این حال اکنون می دانیم راه‌های دیگری برای دسترسی به اطلاعات وجود دارد و رد درخواست از سوی کاربر، اطمینان بخش نیست.

دست کم در مورد اندروید، پژوهشگران انستیتو بین المللی علوم کامپیوتر پس از بررسی 88,000 اپلیکیشن، دریافته‌اند حداقل 1,300 مورد آنها از 50 روش مختلف برای دور زدن تصمیم کاربر در عدم واگذاری مجوز استفاده می‌کنند. آنها دسته بندی‌های مختلف گوگل پلی، کیت‌های توسعه و کتاب خانه‌های زیادی را مورد بررسی قرار داده‌اند تا کُدهای احتمالی که اطلاعات کاربر را به سرقت می‌برند شناسایی کنند.

پژوهشگران دو روش عمده برای دور زدن محدودیت اعمال شده از سوی کاربر را شناسایی کرده‌اند که از سوی توسعه دهندگان متخلف مورد استفاده قرار می‌گیرد. اولین آنها سوء استفاده از آسیب پذیری های موجود در اندروید و کیت‌های توسعه ثالث چون Unity است.

اما روش دوم کانال‌های پنهان نام گرفته و به اپلیکیشن هایی اشاره دارد که از روش‌های خلاقانه برای دست یابی به اطلاعات منع شده استفاده می‌کنند. برای نمونه کتاب خانه‌های Baidu و Salmonads از کارت حافظه برای نگه داری و به اشتراک گذاشتن اطلاعات حساسی که توسط یک اپلیکیشن قابل دست یابی است اما دیگری به آن دسترسی ندارد استفاده می‌کنند. در این روش اپلیکیشن ها به طور مخفیانه اطلاعات حساس را با یکدیگر به اشتراک می‌گذارند. به گفته پژوهشگران دست کم 153 اپلیکیشن این چنینی وجود دارد که بر روی بیش از 500 میلیون دستگاه نصب شده‌اند.

گوگل ضمن پاداش دادن به پژوهشگران این پروژه، وعده داد خلل‌های موجود را در اندروید Q برطرف می‌کند که گفته می‌شود تمرکز ویژه‌ای بر روی مقوله امنیت خواهد داشت.