155
دوشنبه، ۱۳ دی ۱۳۹۵
11

جمهوری ما چقدر اسلامی است‌؟

گزارشی از دسترسی اپلیکیشن‌های اندرویدی به اطلاعات مشترکان

اطلاعات تو از من، استفاده من از تو

بسیاری از اپلیکیشن‌های اندرویدی چه ایرانی و چه خارجی با دریافت یک‌سری مجوزهای حساس با استفاده از مهندسی اجتماعی یا نداشتن آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید از کاربران پرسیده شود این است که آیا شما تابه‌حال مجوزهای درخواستی اپلیکیشن های اندرویدی را قبل از نصب مطالعه کرده‌اید؟

۷۵ درصد صفحات وب فارسی بی‌ارزش هستند

صبح نو

گزارشی از دسترسی اپلیکیشن‌های اندرویدی به اطلاعات مشترکان

اطلاعات تو از من، استفاده من از تو

بسیاری از اپلیکیشن‌های اندرویدی چه ایرانی و چه خارجی با دریافت یک‌سری مجوزهای حساس با استفاده از مهندسی اجتماعی یا نداشتن آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید از کاربران پرسیده شود این است که آیا شما تابه‌حال مجوزهای درخواستی اپلیکیشن های اندرویدی را قبل از نصب مطالعه کرده‌اید؟

تعداد افرادی که این مجوزها را مطالعه می‌کنند انگشت‌شمار هستند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند. به همین دلیل توسعه‌دهندگان اپلیکیشن‌ها با توجه به نبود آگاهی و نیز بی‌توجهی بیشتر کاربران، مجوزهایی را از کاربران می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) با ارائه گزارشی درخصوص آگاه‌سازی کاربران، نسبت به اپلیکیشن‌هایی که درخواست ورود به اطلاعات موجود در گوشی کاربر را دارند، هشدار داد.

یک اعلام عمومی برای دسترسی به تمام اطلاعات گوشی
مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاع‌رسانی را به کاربران اعلام می‌دارند. هنگامی‌که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم یک پنجره پاپ آپ ظاهر می‌شود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش می‌گذارد که این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند. شاید رد کردن یا تفویض مجوزهای درخواستی برنامه کاربردی در حال نصب ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده اپلیکیشن را درک کرد.

درخواست ۱۲۷ مجوز ورود فقط توسط یک اپلیکیشن
مستندسازی مجوزها آن‌هم با وجود تنوع زیاد مجوزها و نیازمندی‌های متفاوت برنامه‌های کاربردی از کاربران بسیار سخت است. مرکز ماهر با ارائه گزارشی، مجوزهای برنامه‌های موجود در فروشگاه گوگل پلی (Google Play ) را با تمرکز ویژه روی مجوزهایی که به‌صورت بالقوه به برنامه کاربردی این اجازه را می‌دهند تا اطلاعات شخصی کاربر را جمع‌آوری یا به اشتراک بگذارند، بررسی کرده است.
درمجموع با بررسی یک میلیون و ۴۱ هزار و ۳۳۶ برنامه کاربردی و اپلیکیشن در این آزمایش عنوان شد که تنها ۲۳۵ مجوز انحصاری و خاص وجود داشته است. بیشتر برنامه‌های کاربردی مجوزهای زیادی را طلب می‌کنند و بیشترین تعداد مجوزهای درخواستی از برنامه‌های کاربردی این آزمون تعداد ۱۲۷ مجوز بوده است که برای یک برنامه کاربردی مقدار بسیار زیادی است.
برنامه‌های کاربردی دیگری هم هستند که تعداد انگشت‌شماری مجوز درخواست می‌کنند که میانگین مجوزهای درخواستی از یک برنامه کاربردی تنها ۵ مجوز بوده است. در این گزارش تحلیلی باید اشاره کرد که ۱۰۰ هزار برنامه نیز مجوزی را درخواست نکرده‌اند.

بیشترین مجوزهای برنامه‌های کاربردی در فروشگاه Google Play
برمبنای بررسی‌های به عمل آمده، ۸۳ درصد از اپلیکیشن های اندروید در زمان نصب خواستار دسترسی کامل به شبکه‌(Full network access)، ۶۹ درصد خواستار مشاهده ارتباطات شبکه‌(View network connections) ، ۵۴ درصد خواستار دسترسی به حافظه حفاظت‌شده‌(Test access to protected storage) ، ۲۷ درصد خواستار مجوز برای جلوگیری از به خواب رفتن گوشی (Prevent device from sleeping) و ۲۱ درصد خواستار کنترل لرزاننده (Control vibration) هستند که به نوعی مجوز سخت‌افزاری محسوب می‌شود.
این درحالی است که ۵۴ درصد از اپلیکیشن های اندرویدی خواستار تنظیم یا حذف محتوای موجود روی حافظه، ۳۵ درصد خواستار خواندن وضعیت تلفن و هویت (Read phone status and identity) و دسترسی به ویژگی‌های تلفن، ۲۴ درصد خواستار مشاهده موقعیت مکانی دقیق(مبتنی بر GPS و شبکه) و ۲۳ درصد نیز خواستار مشاهده ارتباطات بی‌سیم Wi-Fi و ۲۱ درصد خواستار دریافت مجوز برای موقعیت تقریبی(مبتنی بر شبکه) هستند که به نوعی مجوز دریافت اطلاعات کاربر محسوب می‌شود.

اپلیکیشن‌هایی که به تمامی اطلاعات کاربر دسترسی دارند
از مجموع ۲۳۵ مجوز که در این گزارش تحلیلی شناسایی شده‌اند تنها ۱۰ مجوز توسط ۲۰درصد برنامه‌های کاربردی موجود در Google Play مورداستفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامه‌های کاربردی درخواست شده‌اند. اگر بخواهیم به‌صورت آماری نگاه کنیم تعداد ۱۰۰۰ برنامه از مجموع یک میلیون و ۴۱ هزار و ۳۳۶ برنامه که ۹ صدم درصد از تعداد کل برنامه‌های کاربردی مورد تحلیل را شامل می‌شوند، مقدار ۱۴۷ مجوز از مجموع ۲۳۵ مجوز را درخواست کرده‌اند که با توجه به کل برنامه‌های مورد ارزیابی، مقدار زیادی از مجوزها را پوشش می‌دهند.
البته باید این نکته را نیز اضافه کرد که مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را می‌تواند داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت!

درخواست مجوزهایی که شایع‌ترند
تحلیل ذکرشده به بررسی عمیق‌تر روی اپلیکیشن به‌ویژه نوع مجوزهای درخواستی آن‌ها در فروشگاه Google Play می‌پردازد. به‌طور ویژه مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند که شامل مجوزهایی که به برنامه کاربردی این اجازه را می‌دهند تا به اطلاعات کاربر دسترسی داشته باشند و مجوزهایی که به برنامه کاربردی اجازه می‌دهند تا به‌صورت مستقیم با دستگاه تعامل داشته باشند، می‌شود.
مرکز ماهر تاکید کرده است که تعریف «اطلاعات کاربر» یک تعریف عام از اطلاعات کاربر است. مجوزهایی که جهت دریافت اطلاعات کاربر صادر می‌شوند، فرض شده‌اند که هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد. به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاماً بخش مشخصی از سخت‌افزار نخواهد بود.
براین اساس برآوردها نشان می‌دهد که در فروشگاه اپلیکیشن های اندروید، از ۲۳۵ مجوز انحصاری جمع‌آوری‌شده در این تحلیل، ۱۶۵ نوع از آن‌ها به برنامه کاربردی اجازه می‌دهند تا با اجزای سخت‌افزاری یک دستگاه تعامل داشته باشند و سخت‌افزار دستگاه را تحت کنترل قرار می‌دهند و به برنامه اجازه دسترسی دیگری از جمله اطلاعات کاربر را نخواهد داد.
به‌عنوان‌مثال دو نمونه از عمومی‌ترین مجوزها به اپلیکیشن اجازه اتصال به اینترنت را می‌دهند. مجوز «دسترسی کامل به شبکه» (که توسط ۸۳درصد برنامه‌های کاربردی مورداستفاده قرار می‌گیرند) به اپلیکیشن این اجازه را می‌دهد تا با هر شبکه‌ای که دستگاه به آن متصل است ارتباط برقرار کند.
درحالی‌که مجوز «مشاهده ارتباطات شبکه» (که توسط ۶۹درصد برنامه‌های کاربردی مورداستفاده قرار می‌گیرند) به اپلیکیشن این اجازه را می‌دهد تا هر شبکه‌ای را که دستگاه به آن دسترسی دارد ببیند.
باید توجه داشت که هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هردو مجوز «اطلاعات کاربر» و «مجوز سخت‌افزار» نیاز داشته باشد. درحالی‌که این دو مجوز به‌شدت فراگیر هستند اما اجازه دسترسی مستقیم به اطلاعات کاربر را به اپلیکیشن نمی‌دهند.

 

captcha
شماره‌های پیشین