آیا برنامه‌های موبایل شما امن هستند؟

ماهنامه شبکه: يك مطالعه امنيتي جديد نشان مي‌دهد که اينستاگرام، OkCupid و بسیاری برنامه‌های دیگر اندروید، در آزمايش‌هاي ساده و اولیه شامل اقدامات امنيتي براي محافظتِ اطلاعات كاربران موفق نمی‌شوند و از نظر حريم خصوصي در معرض خطر هستند.

يك مطالعه امنيتي جديد نشان مي‌دهد که اينستاگرام، OkCupid و بسیاری برنامه‌های دیگر اندروید، در آزمايش‌هاي ساده و اولیه شامل اقدامات امنيتي براي محافظتِ اطلاعات كاربران موفق نمی‌شوند و از نظر حريم خصوصي در معرض خطر هستند. گروه امنيتي UNHcFREG كه اين مطالعه اخير را انجام داده است، در ابتدای سال، آسيب‌پذيري‌هاي مختلفي را روي دو برنامه معروف واتس‌اپ و وایبر شناسايي کرد و گزارش داد.


این گروه اكنون، تحقيقات خود را روي طيف گسترده‌تري از اپ‌ها صورت داده و به تجزيه و تحليل رفتار و سازوکار‌هاي امنيتي آن‌ها پرداخته است. در اين آزمايش‌ها سعي شده نقاط ضعف امنيتي كه اطلاعات كاربران را در معرض خطر قرار مي‌دهند، يافته و تخمين زده شود. گروه امنيتي UNHcFREG گزارشي از يافته‌هاي خود را به صورت فيلم روي شبكه‌هاي اجتماعي پخش كرد كه با سرعت زيادي منتشر شد و بيش از يك ميليون كاربر از آن بازدید کردند. اين گروه مي‌گويد چيزي كه ما واقعاً يافتيم اين است كه توسعه‌دهندگان برنامه‌هاي سيستم‌عامل اندروید بسيار به‌هم ريخته هستند. ابزارهاي تجزيه و تحليل ترافيكي، مانند Wireshark و NetworkMiner، به خوبي نشان مي‌دهند که اطلاعات كاربران روي سرورها چگونه رد و بدل مي‌شوند و از كجا به كجا انتقال می‌یابند و ذخيره مي‌شوند. اين ابزارها نشان مي‌دهند هنوز اپ‌هاي معروفي مانند فيس‌بوك، اينستاگرام، مسیج‌می، تانگو، هی‌واید، تکست‌پلاس، OkCupid و OoVoo از سيستم‌هاي احرازهويت عكس استفاده نمي‌كنند و دسترسي به تصاوير و انتقال آن‌ها براي ديگران بدون هيچ‌گونه تدابير امنيتي انجام مي‌شود. تصاويري كه از طريق پروتكل HTTP منتقل مي‌شوند؛ هيچ‌گونه سازوکاری برای احرازهويت ندارند.

در نتيجه كافي است اين پروتكل شنود شود تا هر درخواست و ارسال اطلاعاتي روي آن‌ها جمع‌آوري شود و از آن‌جا که رمزنگاري نشده است يا به احرازهويت نياز ندارد، به راحتي دسترس‌پذیر است. استانداردهاي امنيتي مي‌گويند به محض دسترسي نامعتبر به يك عكس، بايد از روي سرور پاك شود يا اين‌كه از صاحب اصلي عكس درخواست احرازهويت صورت گيرد. نرم‌افزارهاي پيام‌رساني نيز اقدام به رمزنگاري اطلاعات خود نمي‌كنند و اگر كسي گوشي موبايل فرد ديگري را به دست آورد، به سادگي مي‌تواند همه پيام‌ها را بخواند. بدتر از همه این‌که بسياري از برنامه‌هاي كاربردي روي اندروید از پروتكل SSL/TLS كه اكنون براي تمامي مرورگرهاي دسكتاپ است، استفاده نمي‌كنند. در نتيجه، يك پيش‌فرض گواهي‌نامه‌هاي ديجيتال صادرشده براي سايت‌ها روي گوشي‌هاي موبايل يا تبلت‌ها كاربردي ندارند.

اگر كاربر در يك مكان عمومي به سايت بانك متصل شود، هكرها مي‌توانند شبكه واي‌فاي را شنود كرده و به اطلاعات حساس و حياتي او دست يابند و در آینده حساب كاربري‌اش را هک كنند. مؤسسه UNHcFREG مي‌گويد که با بسياري از توسعه‌دهندگان اين اپ‌ها تماس گرفته و نتايج اين مطالعه جديد را برايشان ارسال كرده‌اند، اما بسياري از آن‌ها فرصت پاسخ‌گويي ندارند يا از ايميل‌هاي پشتيباني آن‌ها جوابي دريافت نمي‌كنند.