به گزارش
گرداب، همه ما به این ایده که اپ استورها مخزن برنامههای منتخبی هستند که هیچ سوءنیتی ندارند، عادت کردهایم. بنابر پیش فرضهای در نظر گرفته شده توسط گوگل و اپل، هیچ برنامهای بدون تأیید و اجازه کاربر نمیتواند به اطلاعاتی از قبیل فهرست مخاطبان، پیامکها، فایلها، دوربین یا موقعیت مکانی وی دسترسی داشته باشد اما نتایج یک بررسی جدید نشان داد که این برنامهها میتوانند با استفاده از مجموعهای از ترفندها حتی وقتی به آنها اجازه استفاده از اطلاعاتتان را ندادهاید، به آنها دسترسی پیدا کنند.
محققان مؤسسه بینالمللی علوم کامپیوتر در پژوهشی که بر روی ۸۸ هزار برنامه اندرویدی انجام دادند، دریافتند که بیش از یک هزار و ۳۰۰ مورد از این برنامهها، دستکم ۵۰ راه میانبر برای دور زدن محدودیتهای دسترسی تعیین شده از سوی کاربران دارند.
محققان همه طبقهبندیها و حتی کیتهای توسعه نرمافزاری ثالث محبوب را مورد بررسی قرار داده و دریافتند که این برنامهها شامل کدی هستند که میتواند برای ذخیره اطلاعات شخصی کاربران مورد استفاده قرار گیرد.
یافتههای این تحقیق که در «کنفرانس امنیتی یوزنیکس» (Usenix Security Conference) ارائه شد، دو روش مورد استفاده در دور زدن محدودیتهای دسترسی اعمال شده توسط کاربران اندروید را برجسته کرد. اولین روش به آسیبپذیریهای اندروید و کیتهای توسعه نرمافزاری ثالث چون Unity مربوط میشود که به چندین برنامه اجازه میدهند تا شناسه هویتی منحصر به فرد دستگاه موبایل شما را ذخیره کنند.
دومین مورد از این روشها «کانالهای پنهان» (covert channels) نام دارد. منظور از این کانالها برنامههایی است که به طور زیرکانه اطلاعات کاربران را با برنامههایی که از مجوز دسترسی به آنها برخوردار نیستند، به اشتراک میگذارد. به عنوان نمونه برنامههایی چون Baidu و Salmonads از حافظه جانبی برای ذخیره کردن اطلاعات حساس استفاده میکنند تا بعد در فرصتی آنها را در اختیار برنامههایی که در واقع نباید به این اطلاعات دسترسی داشته باشند، قرار دهند.
شاید جالب باشد بدانید که ۱۵۳ نوع از این برنامهها بر روی بیش از ۵۰۰ میلیون دستگاه در سراسر جهان نصب شده است.
گوگل در واکنش به یافتههای این پژوهش، از دستاندرکاران آن تقدیر به عمل آورد و وعده داد که این معضل را در سیستم عامل اندروید کیو (Android Q) که قرار است بر حریم خصوصی تمرکز داشته باشد، رفع کند.
