يك
مطالعه امنيتي جديد نشان ميدهد که اينستاگرام، OkCupid و بسیاری
برنامههای دیگر اندروید، در آزمايشهاي ساده و اولیه شامل اقدامات امنيتي
براي محافظتِ اطلاعات كاربران موفق نمیشوند و از نظر حريم خصوصي در معرض
خطر هستند.
به گزارش سافت گذر به نقل ازبرترین ها؛ يك مطالعه امنيتي جديد نشان ميدهد که اينستاگرام،
OkCupid و بسیاری برنامههای دیگر اندروید، در آزمايشهاي ساده و اولیه
شامل اقدامات امنيتي براي محافظتِ اطلاعات كاربران موفق نمیشوند و از نظر
حريم خصوصي در معرض خطر هستند. گروه امنيتي UNHcFREG كه اين مطالعه اخير را
انجام داده است، در ابتدای سال، آسيبپذيريهاي مختلفي را روي دو برنامه
معروف واتساپ و وایبر شناسايي کرد و گزارش داد.
این
گروه اكنون، تحقيقات خود را روي طيف گستردهتري از اپها صورت داده و به
تجزيه و تحليل رفتار و سازوکارهاي امنيتي آنها پرداخته است. در اين
آزمايشها سعي شده نقاط ضعف امنيتي كه اطلاعات كاربران را در معرض خطر قرار
ميدهند، يافته و تخمين زده شود. گروه امنيتي UNHcFREG گزارشي از
يافتههاي خود را به صورت فيلم روي شبكههاي اجتماعي پخش كرد كه با سرعت
زيادي منتشر شد و بيش از يك ميليون كاربر از آن بازدید کردند. اين گروه
ميگويد چيزي كه ما واقعاً يافتيم اين است كه توسعهدهندگان برنامههاي
سيستمعامل اندروید بسيار بههم ريخته هستند. ابزارهاي تجزيه و تحليل
ترافيكي، مانند Wireshark و NetworkMiner، به خوبي نشان ميدهند که اطلاعات
كاربران روي سرورها چگونه رد و بدل ميشوند و از كجا به كجا انتقال
مییابند و ذخيره ميشوند. اين ابزارها نشان ميدهند هنوز اپهاي معروفي
مانند فيسبوك، اينستاگرام، مسیجمی، تانگو، هیواید، تکستپلاس، OkCupid و
OoVoo از سيستمهاي احرازهويت عكس استفاده نميكنند و دسترسي به تصاوير و
انتقال آنها براي ديگران بدون هيچگونه تدابير امنيتي انجام ميشود.
تصاويري كه از طريق پروتكل HTTP منتقل ميشوند؛ هيچگونه سازوکاری برای
احرازهويت ندارند.
در نتيجه كافي است اين پروتكل شنود شود تا هر
درخواست و ارسال اطلاعاتي روي آنها جمعآوري شود و از آنجا که رمزنگاري
نشده است يا به احرازهويت نياز ندارد، به راحتي دسترسپذیر است.
استانداردهاي امنيتي ميگويند به محض دسترسي نامعتبر به يك عكس، بايد از
روي سرور پاك شود يا اينكه از صاحب اصلي عكس درخواست احرازهويت صورت گيرد.
نرمافزارهاي پيامرساني نيز اقدام به رمزنگاري اطلاعات خود نميكنند و
اگر كسي گوشي موبايل فرد ديگري را به دست آورد، به سادگي ميتواند همه
پيامها را بخواند. بدتر از همه اینکه بسياري از برنامههاي كاربردي روي
اندروید از پروتكل SSL/TLS كه اكنون براي تمامي مرورگرهاي دسكتاپ است،
استفاده نميكنند. در نتيجه، يك پيشفرض گواهينامههاي ديجيتال صادرشده
براي سايتها روي گوشيهاي موبايل يا تبلتها كاربردي ندارند.
اگر
كاربر در يك مكان عمومي به سايت بانك متصل شود، هكرها ميتوانند شبكه
وايفاي را شنود كرده و به اطلاعات حساس و حياتي او دست يابند و در آینده
حساب كاربرياش را هک كنند. مؤسسه UNHcFREG ميگويد که با بسياري از
توسعهدهندگان اين اپها تماس گرفته و نتايج اين مطالعه جديد را برايشان
ارسال كردهاند، اما بسياري از آنها فرصت پاسخگويي ندارند يا از
ايميلهاي پشتيباني آنها جوابي دريافت نميكنند.