محققان کالج مهندسی بورنز ریورساید کالیفرنیا و دانشگاه
میشیگان نقطهی ضعفی در هر سه سیستم عامل اندروید، iOS و ویندوزفون پیدا
کردند که به وسیلهی آن میتوان به اطلاعات شخصی کاربر دسترسی پیدا کرد.
با وجود این که بررسی بر روی تلفن اندرویدی انجام شده اما به علت
مکانیزم یکسان دسترسی به حافظهی داخلی، این آسیب پذیری در هر سه سیستم
عامل مطرح تلفنهای هوشمند وجود دارد.
پروفسور ژیون کیان استاد کالج ریورساید در این باره میگوید:
همیشه فرض بر این بوده که برنامهها نمیتوانند به سادگی با هم تداخل
داشته باشند، اما تحقیقات ما نشان میدهد این فرض درست نیست و یک برنامه
میتواند به اطلاعات برنامهی دیگر دسترسی پیدا کرده و از آن جهت مقاصد
مخرب استفاده کند.
روش کار به این صورت است که ابتدا کاربر برنامهای مخرب اما به ظاهر بی
ضرر مثل یک تصویر پس زمینه را دانلود میکند، پس از آن مهاجم با استفاده
کدهای مخفی موجود در آن برنامه به دادههای دائمی حافظهی مشترک بین
برنامهها که برای تمام سطوح قابل دسترسی است، دست پیدا میکند سپس تغییرات
صورت گرفته در این دادهها را تحت نظر میگیرد و این تغییرات را به
فعالیتهای مختلف صورت گرفته مرتبط میکند مثلا کدام دادهها به جیمیل
مربوط میشود و یا اطلاعات حساب بانکی فرد کدام است. حتی تیم تحقیقاتی با
استفاده از چند روش دیگر توانست تمام فعالیتهای کاربر را در زمان واقعی در
نظر بگیرد.
برای انجام یک حملهی موفق دو عامل باید در نظر گرفته شود. ابتدا این که
حمله باید دقیقا در لحظهای که کاربر فعالیت مورد نظر را انجام میدهد
انجام شود و دوم این که کاربر باید بیخبر از تمام این اتفاقات بماند.
دکتر آلفرد چن از دانشگاه میشیگان می گوید:
ما میدانیم کاربر چه زمانی از اپلیکیشن بانکداری خود استفاده میکند،
در زمان ورود وی به برنامه، ما صفحهای مشابه به صفحهی ورود نام کاربری و
پسورد بانک را به برنامه تزریق میکنیم سپس اطلاعات حساب بانکی را انتقال
میدهیم.
از میان هفت برنامهای که بررسی شدند موفقیت این روش۹۲ درصد برای
H&R Blocks، میزان ۸۲ درصد برای webMD، تقریبا ۹۲٪ برای جیمیل و ۸۳
درصد برای Chase Bank بوده است. آمازون نفوذناپذیرترین اپلیکیشن با ۴۸ درصد
موفقیت بود، زیرا این برنامه فقط به یک فعالیت اجازهی ارتباط به فعالیت
دیگر را میدهد و به سختی میتوان فعالیت بعدی کاربر را حدس زد.
این تیم تحقیقاتی پیشنهاد میکند کاربران برنامههایی را که از منشا
آنها مطمئن نیستند نصب نکنند و همچنین به درخواستهای دسترسی به اطلاعات
شخصی که برنامهها تقاضا میکنند، توجه کنند. نتایج بررسی از این گزارش قابل دسترسی است.