مركز افتا هشدار داد؛

كشف حفره امنیتی در اپلیكیشن های اندرویدی، تهیه اسكرین شات از گوشی

كشف حفره امنیتی در اپلیكیشن های اندرویدی، تهیه اسكرین شات از گوشی رمز من: بررسی عملكرد ۱۷۲۶۰ اپلیكیشن در بازارهای اندرویدی، وجود حفره های امنیتی را نشان داده است كه سبب شده این برنامه های موبایلی بدون اطلاع كاربر از فعالیتهای گوشی، اسكرین شات و ویدئو تهیه كنند.


به گزارش رمز من به نقل از مهر، پژوهش جدیدی نشان داده است چندین برنامه اندرویدی، حفره های امنیتی مهمی در حریم خصوصی كاربر دارند كه به برنامه های موبایلی اجازه می دهند تا بدون اطلاع كاربر از فعالیت های گوشی اسكرین شات و ویدئو تهیه كنند. این پژوهش كه توسط پژوهشگران دانشگاه Northeastern انجام شده، به بررسی ۱۷۲۶۰ برنامه از بازارهای برنامه های اندرویدی موبایلی Google Play، AppChina، Mi.com و Anzhi پرداخته است. در حالیكه درصد زیادی از برنامه ها از توانایی ضبط رسانه در گوشیهای تلفن همراه استفاده نمی كنند، اما پژوهشگران چند نمونه را كشف كردند كه به صورت مخفیانه عملیات ضبط را انجام می دادند. مطالعات این پژوهشگران نشان داده است چندین ریسك نقض حریم خصوصی در اكوسیستم برنامه های اندرویدی وجود دارد كه بدون اطلاع یا اجازه كاربر، مجوزهای رسانه ای را بالا می برد و داده های تصویری را با استفاده از روش های غیر منتظره با افراد دیگر به اشتراك می گذارد. در این زمینه مركز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا) اعلام نمود: پژوهشگران تلفیقی از تجزیه و تحلیل ایستا (بررسی كد بدون اجرای برنامه) و تجزیه و تحلیل پویا (تست و ارزیابی برنامه با اجرای داده ها در زمان واقعی) را روی برنامه ها انجام دادند تا جمع آوری و افشای رسانه ها مانند ویدئو یا تصاویر را كشف كنند. این پژوهش ها شامل بررسی این موارد هستند: «آیا برنامه ها درخواست دسترسی به مجوزهای دوربین و میكروفون را دارند؟»، «آیا APIهای رسانه ای در كد برنامه درج شده اند؟» و «آیا هر كدام از مرجع های بالقوه API در كد توسعه first-party یا یك كتابخانه third-party » هستند؟ مشكل مشابه در برنامه های iOS هم احیانا وجود دارد اما هنوز پژوهشی در این زمینه روی آنها انجام نشده است. یكی از این برنامه ها GoPuff است كه بعد از بررسی فایل APK آن، پژوهشگران متوجه شدند كه این برنامه از صفحه كاربر ویدئو تهیه می كند و برای دامنه شركت سازنده، Appsee، ارسال می گردد. برنامه دیگر TestFairy است كه بدون اطلاع كاربر مبادرت به تهیه اسكرین شات می كند. در نهایت پژوهشگران برنامه ویرایش عكس PaintLab را مشاهده نمودند كه تصاویر را بدون اطلاع دادن به كاربران، برای پردازش به سرورهای خود ارسال می كند. خطر اصلی در این گونه اپلیكیشن ها، استفاده توسعه دهندگان از كتابخانه های third party است. بدون آنكه اطلاع داشته باشند كه این كتابخانه ها چه اطلاعاتی را جمع آوری می كنند. مركز افتا تصریح كرد كه كاربران باید به دسترسی های برنامه های اندرویدی، به خصوص اپلیكیشن هایی كه با اطلاعات حساس كاربران سر وكار دارند، توجه ویژه ای داشته باشند.

1397/04/20
14:20:18
5.0 / 5
89
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
نظر شما در مورد این مطلب
نام:
ایمیل:
نظر:
سوال:
= ۲ بعلاوه ۳
رمز من - Ramzeman
ramzeman.ir - حقوق مادی و معنوی سایت رمز من محفوظ است

رمز من

فناوری اطلاعات و امنیت