‫ اطلاع‌رسانی‌ها

نتایج جستجو براساس برچسب: "امنیت در سامانه‌های هوشمند تلفن همراه "
به روز رسانی امنیتی اندروید در ماه سپتامبر

شرکت گوگل از سال 2015 اقدام به عرضه اصلاحات امنیتی برای سیستم‌عامل اندروید نموده است که هر ماه بروز می‌شوند. به همین منظور برخی از شرکت‌های تولیدکننده دستگاه‌های مبتنی بر این سیستم‌عامل نیز اقدام به عرضه وصله‌های (Patches) امنیتی به‌صورت ماهانه می‌کنند. اخیراً گوگل اصلاحیه جدیدی برای آسیب‌پذیری موجود در Quadrooter عرضه داشته است.... بیشتر

تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید

امروزه با توجه به تولید انبوه برنامه‌های کاربردی اندرویدی و ارائه آن‌ها در بازارهای ایرانی و خارجی و همچنین دانش اندک بیشتر کاربران سیستم‌عامل اندروید، باید در مورد خطرات احتمالی آن دست از برنامه‌هایی که تهدیداتی را برای کاربران دستگاه‌های اندرویدی ایجاد می‌کنند اطلاع‌رسانی شود. بسیاری از برنامه‌های کاربردی چه ایرانی و چه خارجی با دریافت یکسری مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید پرسیده شود این است که آیا تابه‌حال مجوزهای درخواستی برنامه کاربردی اندرویدی شما قبل از نصب را مطالعه کرده‌اید؟ تعداد افرادی که این مجوزها را مطالعه می‌کنند انگشت‌شمار هستند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند. از عدم آگاهی و نیز بی‌توجهی بیشتر کاربران، توسعه‌دهندگان برنامه‌های کاربردی مجوزهایی را از کاربران می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند. هدف از این گزارش آگاه‌سازی کاربران در مورد مجوزهایی است که برنامه‌های کاربردی اندرویدی درخواست می‌کنند.
در ابتدا باید عنوان کرد که مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاع‌رسانی را به کاربران اعلام می‌دارند. هنگامی‌که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم یک پنجره پاپ آپ ظاهر می‌شود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش می‌گذارد که این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند.... بیشتر

ده آسیبپذیری برجسته در برنامه های کاربردی تحت موبایل به گزارش OWASP

پروژه امنیت موبایل OWASP با هدف کمک به گروه‌های امنیتی و به‌منظور حفاظت از برنامه‌های موبایلی، اطلاعاتی را درباره امنیت موبایل یا گوشیهای هوشمند گردآوری و تحلیل می‌نماید.

در واقع با دسته‌بندی خطرات امنیتی موبایل و ارائه راه‌کارهای کنترلی سعی می‌شود تا تأثیرات و احتمال سوءاستفاده‌ها کاهش یابد. تمرکز اصلی در این پروژه بر لایه برنامه کاربردی است. با این‌حال در هنگام مدل کردن تهدیدات و ارائه کنترل‌ها به خطرات بستر شبکه‌های انتقال و سیستمعامل موبایل نیز توجه می‌شود. به‌علاوه نه تنها به برنامه‌های کاربردی موبایل در طرف کاربر توجه می‌شود بلکه هم-چنین زیرساخت‌های سمت سرویسدهنده که برنامه‌ها با آن‌ها مرتبط‌اند نیز مورد توجه است.... بیشتر

حذف ویروس از سیستم‌عامل اندروید

چگونگی حذف ویروس از دستگاه مبتنی بر سیستم‌عامل اندروید
این روزها کمتر کسی را می‌توان یافت که از گوشی هوشمند استفاده نکند. همین موضوع باعث می‌شود تا خطرات زیادی از جمله سرقت داده‌های حساس و اخاذی از جانب افراد سودجو برای کاربران گوشی‌های هوشمند وجود داشته باشد، یکی از این خطرات ویروسی شدن گوشی‌های هوشمند است. بیشتر ویروس‌ها از طریق برنامه‌های کاربردی که بر روی دستگاه خود نصب می‌کنید وارد دستگاه می‌شوند، بنابراین اگر گوشی یا تبلت شما هنوز به ویروس آلوده نشده است بهترین راه برای جلوگیری از این آلودگی دانلود برنامه‌های کاربردی از فروشگاه رسمی گوگل "Google Play" خواهد بود، اما نشانه‌های ویروسی شدن گوشی‌های هوشمند عبارت‌اند از:... بیشتر

ده خطر امنیتی در مورد گوشی‌های هوشمند

این روزها زیرساخت‌های فناوری اطلاعات و ارتباطات روند پیشرفت و توسعه را به‌سرعت طی می‌کنند و به‌تبع آن کاربران نیز از بستر موجود به‌ویژه اینترنت و دیگر فناوری‌های ارتباطی بهره‌مند خواهند شد. به همین خاطر تمایل افراد نسبت به بهره‌مندی از همراه بانک‌ها و تجارت الکترونیک رو به افزایش است. با این وجود راه برای افراد سودجو باز خواهد بود. کافی است کاربران گوشی‌های هوشمند موارد امنیتی و هشدارهای داده شده را نسبت به افزایش امنیت گوشی هوشمند خود در نظر داشته باشند.
در ادامه 10 خطر امنیتی مربوط به دستگاه‌های قابل‌حمل عنوان شده است. دانستن این خطرات می‌تواند شما را در حفاظت از داده‌های حساس خود و توسعه‌دهندگان برنامه کاربردی را نسبت به ایمن‌سازی برنامه‌هایشان کمک نماید.... بیشتر

چگونه از طریق گوشی هوشمند خود خدمات بانکی ایمن دریافت کنیم

بانکداری موبایل بسیار آسان است و در وقت و هزینه‌های شما صرفه‌جویی می‌کند. پیش‌تر برای انجام یک تراکنش بانکی باید مدت‌ها در صف انتظار بانک‌ها منتظر می‌ماندیم ولی امروزه با پیشرفت بانکداری الکترونیک و به‌ویژه همراه بانک‌ها، کافی است گوشی همراه خود را برداشته و با فشردن چند کلید تمام تراکنش‌های بانکی خود را انجام دهید. در نگاه اول داشتن چنین زندگی آرمانی بسیار لذت‌بخش است ولی آیا همه اقشار جامعه نسبت به خطرات احتمالی آن آگاهی کافی را دارند؟ چند درصد از افرادی که از همراه بانک‌ها برای انجام تراکنش‌های بانکی خود استفاده می‌کنند اقدامات امنیتی لازم را در گوشی‌های هوشمند خود اعمال کرده‌اند؟ خارج از الزامات امنیتی گوشی هوشمند، سؤالی که وجود دارد این است که آیا انجام تراکنش‌های بانکی آن‌هم با فراوانی اخبار در زمینه سرقت اطلاعات بانکی و سودجویی‌های صورت گرفته در گوشی‌های هوشمند به صلاح است؟ اگر حساب بانکی شما توسط یک شخص سودجو خالی شد چه مقدار زمان باید صرف بازپس‌گیری وجه ازدست‌رفته با مراجعه به شعب دادگاه‌ها و کلانتری‌ها کنید؟... بیشتر

سودجویی‌های باج‌افزار‌های اندرویدی و کنترل دستگاه قربانی با استفاده از انواع مختلف کلیک‌دزدی

سودجویی‌های باج‌افزار‌های اندرویدی و کنترل دستگاه قربانی با استفاده از انواع مختلف کلیک‌دزدی (Clickjacking)               شاید بتوان سال جدید میلادی را سالی مهم برای باج‌افزارها قلمداد کرد. درواقع حجم باج‌افزارهای کشف‌شده و تنوع آن‎ها دو برابر شده است. با این اوصاف با رشد نفوذ و تأثیر این باج‌افزارها باید آن‌ها را به‌عنوان مهم‌ترین تهدید تلقی نمود. باج افزارها نوع خاصی از بدافزارها هستند که با ورود به گوشی شخص قربانی آن را قفل کرده و امکان دسترسی فرد را به اطلاعات خود از بین می‌برند سپس یک پنجره کوچک (pop up) بر روی صفحه‌نمایش گوشی قربانی ظاهر می‌شود که حاوی پیامی با این مضمون است که در صورت نیاز به بازیابی اطلاعات خود باید مبلغی را به ‌حساب شخص سودجو بپردازید تا اجازه دهد گوشی از حالت قفل شده خارج شود. در این‌گونه موارد شخص قربانی چاره‌ای جز پاک کردن داده‌های دستگاه خود نداشته که نتیجه‌ی آن از دست رفتن همه اطلاعات وی خواهد بود.... بیشتر

تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید

 

امروزه با توجه به تولید انبوه برنامه‌های کاربردی اندرویدی و ارائه آن‌ها در بازارهای ایرانی و خارجی و همچنین دانش اندک بیشتر کاربران سیستم‌عامل اندروید، باید در مورد خطرات احتمالی آن دست از برنامه‌هایی که تهدیداتی را برای کاربران دستگاه‌های اندرویدی ایجاد می‌کنند اطلاع‌رسانی شود. بسیاری از برنامه‌های کاربردی چه ایرانی و چه خارجی با دریافت یکسری مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید پرسیده شود این است که آیا تابه‌حال مجوزهای درخواستی برنامه کاربردی اندرویدی شما قبل از نصب را مطالعه کرده‌اید؟ تعداد افرادی که این مجوزها را مطالعه می‌کنند انگشت‌شمار هستند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند. از عدم آگاهی و نیز بی‌توجهی بیشتر کاربران، توسعه‌دهندگان برنامه‌های کاربردی مجوزهایی را از کاربران می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند. هدف از این گزارش آگاه‌سازی کاربران در مورد مجوزهایی است که برنامه‌های کاربردی اندرویدی درخواست می‌کنند.

در ابتدا باید عنوان کرد که مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاع‌رسانی را به کاربران اعلام می‌دارند. هنگامی‌که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم یک پنجره پاپ آپ ظاهر می‌شود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش می‌گذارد که این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند.

شاید رد کردن یا تفویض مجوزهای درخواستی برنامه کاربردی در حال نصب ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده برنامه کاربردی را درک نمود.

بیشتر شرکت‌های اینترنتی از متدهای عمومی مشابهی برای آگاه‌سازی کاربران در خصوص داده‌هایی که قرار است مورداستفاده قرار گیرند بهره می‌برند. در سیستم‌عامل اندروید یک ارتباط سه سویه بین کاربر، گوگل (طراح و ارائه‌دهنده سیستم‌عامل اندروید) و توسعه‌دهندگان برنامه کاربردی شخص سوم وجود دارد. گوگل درواقع ارتباط بین کاربر و توسعه‌دهندگان شخص سوم را با استفاده از مجموعه‌ای از مجوزها برای هر برنامه کاربردی دانلود شده توسط کاربر، مدیریت می‌کند. مجوزها درواقع نیازمندی‌های توسعه‌دهندگان را برای چگونگی تعامل برنامه کاربردی تولیدشده با دستگاه کاربر مشخص کرده و دسترسی به نوع اطلاعات درخواستی برنامه کاربردی را نیز تعیین خواهد کرد.

در اکوسیستم اندروید بیشترین فشار بر روی توسعه‌دهندگان است تا مجوزهایی که به کاربر نشان داده می‌شوند، نحوه کار برنامه کاربردی را به‌درستی انتخاب و به نمایش بگذارند. پس‌ازاینکه توسعه‌دهنده برنامه کاربردی یک برنامه را ایجاد کرد، مجوزهای صحیح را به‌درستی انتخاب نمود و لیستی از کاربران هدفی که درنهایت با این مجوزها موافقت نموده‌اند را تهیه کرد، گوگل برنامه کاربردی تولیدی را به‌منظور شناسایی بدافزار و تشخیص کدهای مخرب مورد ارزیابی قرار خواهد داد. محدوده مجوزها برای تعامل برنامه کاربردی از اجازه دسترسی به بخش ویژه‌ای از سخت‌افزار دستگاه (به‌عنوان‌مثال فلش دوربین عکاسی) آغاز می‌شود و تا دسترسی به لیست مخاطبان کاربر ادامه می‌یابد. کاربر نیز باید با تمام مجوزهای لیست شده قبل از نصب برنامه کاربردی موافقت نماید.

اصول مجوزهای برنامه‌های کاربردی گوگل

مستندسازی مجوزها آن‌هم با وجود تنوع زیاد مجوزها و نیازمندی‌های متفاوت برنامه‌های کاربردی از کاربران بسیار سخت است. در این بخش گزارشی از بررسی‌ مجوزهای برنامه‌های موجود در فروشگاه Google Play با تمرکز ویژه روی مجوزهایی که به‌صورت بالقوه به برنامه کاربردی این اجازه را می‌دهند تا اطلاعات شخصی کاربر را جمع‌آوری و یا به اشتراک بگذارند ارائه شده است.

درمجموع با بررسی 1041336 برنامه کاربردی در این آزمایش باید عنوان کرد که تنها 235 مجوز انحصاری و خاص وجود داشته است. بیشتر برنامه‌های کاربردی مجوزهای زیادی را طلب می‌کنند و بیشترین تعداد مجوزهای درخواستی از برنامه‌های کاربردی این آزمون تعداد 127 مجوز بوده است که برای یک برنامه کاربردی مقدار بسیار زیادی است. برنامه‌های کاربردی دیگری هم هستند که تعداد انگشت‌شماری مجوز درخواست می‌کنند که میانگین مجوزهای درخواستی از یک برنامه کاربردی تنها 5 مجوز بوده است. در این گزارش تحلیلی باید اشاره کرد که 100000 برنامه نیز مجوزی را درخواست نکرده‌اند.

بیشترین مجوزهای برنامه‌های کاربردی در فروشگاه Google Play

مجوز

کاری که مجوز انجام می‌دهد "به برنامه کاربردی اجازه می‌دهد تا ..."

تعداد برنامه‌های کاربردی

% از برنامه‌های کاربردی

مجوز سخت‌افزاری یا اطلاعات کاربر

دسترسی کامل به شبکه

(Full network access)

... یک درگاه شبکه ایجاد کرده و از پروتکل‌های معمول شبکه استفاده می‌کند. مرورگر و دیگر برنامه‌های کاربردی داده را از طریق اینترنت ارسال می‌کنند که این بدان معنا است که مجوز نیازی به ارسال داده از طریق اینترنت را نباید داشته باشد.

855873

83%

سخت‌افزار

مشاهده ارتباطات شبکه

(View network connections)

... مشاهده اطلاعات درباره ارتباطات شبکه، به‌عنوان‌مثال تشخیص اینکه کدام شبکه وجود دارد و متصل است.

714607

69%

سخت‌افزار

آزمون دسترسی به حافظه حفاظت‌شده

(Test access to protected storage)

... آزمون مجوز مربوط به حافظه USB که بر روی دستگاه‌های آینده قابل‌دسترس خواهند بود. به برنامه کاربردی اجازه می‌دهد تا مجوز را برای SD card آزمایش نماید.

562442

54%

سخت‌افزار

تنظیم یا حذف محتوای موجود بر روی حافظه USB

(Modify or delete the contents of your USB storage)

... نوشتن بر روی حافظه USB. به برنامه کاربردی اجازه نوشتن بر روی SD card را می‌دهد.

559941

54%

اطلاعات کاربر

خواندن وضعیت تلفن و هویت

(Read phone status and identity)

... دسترسی به ویژگی‌های تلفن. این مجوز به برنامه کاربردی اجازه می‌دهد تا شماره‌های تلفن و ID را به هنگام برقراری تماس تشخیص دهد.

361616

35%

اطلاعات کاربر

جلوگیری از به خواب رفتن گوشی

(Prevent device from sleeping)

... ممانعت از به خواب رفتن گوشی. به برنامه کاربردی اجازه می‌دهد تا مانع به خواب رفتن گوشی شود.

279775

27%

سخت‌افزار

موقعیت مکانی دقیق(مبتنی بر GPS و شبکه)

(Precise location(GPS and network-based)

... دریافت موقعیت مکانی دقیق با استفاده از سیستم موقعیت‌یاب جهانی (GPS) یا موقعیت مکانی دکل‌های مخابراتی و Wi-Fi. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص موقعیت مکانی شما را با استفاده از این مجوز دارند و به سبب آن مصرف انرژی بیشتری را برای دستگاه به همراه خواهند داشت.

246750

24%

اطلاعات کاربر

مشاهده ارتباطات بی‌سیم Wi-Fi

(View Wi-Fi connections)

... مشاهده اطلاعاتی درباره شبکه‌های Wi-Fi، ازجمله تشخیص فعال بودن Wi-Fi و اسامی دستگاه‌های Wi-Fi متصل شده.

235093

23%

اطلاعات کاربر

کنترل لرزاننده

(Control vibration)

... کنترل‌کننده لرزاننده

220594

21%

سخت‌افزار

موقعیت تقریبی(مبتنی بر شبکه)

(Approximate location (network-based)

... دریافت موقعیت مکانی تقریبی. این موقعیت مکانی از طریق سرویس‌های موقعیت مکانی به‌ویژه دکل‌های سلولی و Wi-Fi به‌دست می‌آیند. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص تقریبی موقعیت مکانی شما را با استفاده از این مجوز خواهند داشت.

216770

21%

اطلاعات کاربر

 

از مجموع 235 مجوز که در این گزارش تحلیلی شناسایی شده‌اند تنها 10 مجوز توسط 20% برنامه‌های کاربردی موجود در Google Play مورداستفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامه‌های کاربردی درخواست شده‌اند. اگر بخواهیم به‌صورت آماری نگاه کنیم تعداد 1000 برنامه از مجموع 1041336 که 0.09% از تعداد کل برنامه‌های کاربردی مورد تحلیل را شامل می‌شوند، مقدار 147 مجوز از مجموع 235 مجوز را درخواست کرده‌اند که با توجه به کل برنامه‌های مورد ارزیابی، مقدار زیادی از مجوزها را پوشش می‌دهند. البته باید این نکته را نیز اضافه نمود که مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را می‌تواند داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت! تحلیل ذکرشده به بررسی عمیق‌تر بر روی برنامه کاربردی به‌ویژه نوع مجوزهای درخواستی آن‌ها در فروشگاه Google Play می‌پردازد.

به‌طور ویژه مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند:

  • مجوزهایی که به برنامه کاربردی این اجازه را می‌دهند تا به اطلاعات کاربر دسترسی داشته باشند.
  • مجوزهایی که به برنامه کاربردی اجازه می‌دهند تا به‌صورت مستقیم با دستگاه تعامل داشته باشند.

توجه

تعریف "اطلاعات کاربر" یک تعریف عام از اطلاعات کاربر است. مجوزهایی که جهت دریافت "اطلاعات کاربر" صادر می‌شوند، فرض شده‌اند که هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد. به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاماً بخش مشخصی از سخت‌افزار نخواهد بود.

مجوزهایی که سخت‌افزار دستگاه را تحت کنترل قرار می‌دهند

از 235 مجوز انحصاری جمع‌آوری‌شده در این تحلیل، 165 نوع از آن‌ها به برنامه کاربردی اجازه می‌دهند تا با اجزای سخت‌افزاری یک دستگاه تعامل داشته باشند و به برنامه اجازه دسترسی دیگری ازجمله اطلاعات کاربر را نخواهد داد.

به‌عنوان‌مثال دو نمونه از عمومی‌ترین مجوزها به برنامه کاربردی اجازه اتصال به اینترنت را می‌دهند. مجوز "دسترسی کامل به شبکه" (که توسط 83% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا با هر شبکه‌ای که دستگاه به آن متصل است ارتباط برقرار نماید. درحالی‌که مجوز "مشاهده ارتباطات شبکه" (که توسط 69% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا هر شبکه‌ای که دستگاه به آن دسترسی دارد را ببیند. هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هردو مجوز "اطلاعات کاربر" و "مجوز سخت‌افزار" نیاز داشته باشد. درحالی‌که این دو مجوز به‌شدت فراگیر هستند اما اجازه دسترسی مستقیم به اطلاعات کاربر را به برنامه کاربردی نمی‌دهند.

 

دانلود متن کامل در  پیوست

به روز رسانی امنیتی اندروید در ماه سپتامبر

 

شرکت گوگل از سال 2015 اقدام به عرضه اصلاحات امنیتی برای سیستم‌عامل اندروید نموده است که هر ماه بروز می‌شوند. به همین منظور برخی از شرکت‌های تولیدکننده دستگاه‌های مبتنی بر این سیستم‌عامل نیز اقدام به عرضه وصله‌های (Patches) امنیتی به‌صورت ماهانه می‌کنند. اخیراً گوگل اصلاحیه جدیدی برای آسیب‌پذیری موجود در Quadrooter عرضه داشته است.

Quadrooter (یک آسیب‌پذیری جدید، مربوط به چیپ‌های Qualcomm است و در بیشتر دستگاه‌های اندرویدی مورد استفاده قرار گرفته است.) شامل 4 آسیب‌پذیری است. این آسیب‌پذیری‌ها عمدتاً در بیشتر نسخه‌های اندروید مشکلاتی را ایجاد کرده‌اند که به‌صورت تقریبی 900 میلیون دستگاه را تحت تأثیر خود قرار داده است. گوگل تعهد داده است تا ماه سپتامبر به رفع این ایرادات امنیتی بپردازد. دستگاه‌های آلوده به این نقض‌های امنیتی مربوط به کمپانی نکسوس (Nexus) بود، همچنین کمپانی سامسونگ هم در برخی نسخه‌های گوشی همچون Galaxy S7  و Galaxy S7 Edge به این مشکلات دچار شده است

یک هکر به‌صورت بالقوه می‌تواند با سو استفاده از Quadrooter کنترل کامل هر دستگاهی را در دست بگیرد. به همین منظور گوگل بالاترین اولویت را نسبت به اصلاح این آسیب‌پذیری‌ها قرار داده است. در واقع شرکت گوگل اصلاحیه‌های اندروید را مطابق با یک زمان‌بندی ماهانه عرضه می‌دارد. گوگل ابتدا اصلاحیه‌های جدید را با سازندگان دستگاه‌های همراه به اشتراک گذاشته و سپس اقدام به عرضه بروز رسانی برای دستگاه‌های نکسوس خود به همراه یک اطلاعیه امنیتی می‌کند.

در جدول زیر تاریخ دریافت بروز رسانی اندروید با توجه به مدل دستگاه نکسوس قابل مشاهده است:

دریافت وصله امنیتی بروز رسانی برای گوشی نکسوس

برای دریافت وصله امنیتی پس از رفع ایرادات امنیتی در گوشی‌های نکسوس مراحل زیر را ادامه دهید:

  • به قسمت تنظیمات گوشی، Settings بروید.
  • گزینه About tablet یا About phone را انتخاب کنید.
  • آخرین نسخه وصله امنیتی را در این قسمت مشاهده می‌کنید.
  • برای دانلود و نصب آخرین نسخه وصله امنیتی اقدام کنید.

 

اصلاحیه‌های ماه سپتامبر

اصلاحیه ۰۱/۰۹/۲۰۱۶، ۲۵ آسیب‌پذیری را در بخش‌های مختلف سیستم‌عامل اندروید ترمیم می‌کند. دو مورد از آن‌ها که مربوط به بخش‌های LibUtils و Mediaserver می‌شوند بسیار مهم عنوان شده‌اند. فرد مهاجم می‌تواند با استفاده از فایل‌های دست‌کاری شده از این دو ضعف امنیتی بهره‌برداری کرده و اقدام به اجرای کد از راه دور نماید.

 

خلاصه آسیب پذیری

موضوع

CVE

شدت

آسیب پذیری اجرای کد از راه دور در LibUtils

CVE-2016-3861

بحرانی

آسیب پذیری اجرای کد از راه دور در Mediaserver

CVE-2016-3862

بحرانی

آسیب پذیری اجرای کد از راه دور در MediaMuxer

CVE-2016-3863

بالا

آسیب‌پذیری دسترسی زیاد در Mediaserver

CVE-2016-3870

CVE-2016-3871

 CVE-2016-3872

بالا

آسیب‌پذیری دسترسی زیاد در device boot

CVE-2016-3875

بالا

آسیب‌پذیری دسترسی زیاد در Settings

CVE-2016-3876

بالا

آسیب‌پذیری انکار سرویس در Mediaserver

CVE-2016-3899

CVE-2016-3878

CVE-2016-3879

CVE-2016-3880

CVE-2016-3881

بالا

آسیب‌پذیری دسترسی زیاد در Telephony

CVE-2016-3883

متوسط

آسیب‌پذیری دسترسی زیاد در Notification Manager Service

CVE-2016-3884

متوسط

آسیب‌پذیری دسترسی زیاد در Debuggerd

CVE-2016-3885

متوسط

آسیب‌پذیری دسترسی زیاد در  System UI Tuner

CVE-2016-3886

متوسط

آسیب‌پذیری دسترسی زیاد در  Settings

CVE-2016-3887

متوسط

آسیب‌پذیری دسترسی زیاد در  SMS

CVE-2016-3888

متوسط

آسیب‌پذیری دسترسی زیاد در  Settings

CVE-2016-3889

متوسط

آسیب‌پذیری دسترسی زیاد در  Java Debug Wire Protocol

CVE-2016-3890

متوسط

آسیب‌پذیری افشای اطلاعات در Mediaserver

CVE-2016-3895

متوسط

آسیب‌پذیری افشای اطلاعات در AOSP Mail

CVE-2016-3896

متوسط

آسیب‌پذیری افشای اطلاعات در Wi-Fi

CVE-2016-3897

متوسط

آسیب‌پذیری انکار سرویس در Telephony

CVE-2016-3898

متوسط

 

 

اصلاحیه ۰۵/۰۹/۲۰۱۶، ۲۸ آسیب‌پذیری را در راه‌اندازهایی همچون Qualcomm، Synaptics، Broadcom و Nvidia ترمیم می‌کند. تعداد ۵ آسیب‌پذیری از این ضعف‌های امنیتی بسیار مهم عنوان شده‌اند و ممکن است منجر به آلوده شدن دستگاه شوند که تنها از طریق Reflash کردن دستگاه می‌توان آن را به حالت اولیه بازگرداند.

خلاصه آسیب پذیری

 

موضوع

CVE

شدت

آسیب‌پذیری دسترسی زیاد در kernel security subsystem

CVE-2014-9529 CVE-2016-4470

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel networking subsystem

CVE-2013-7446

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel netfilter subsystem

CVE-2016-3134

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel USB driver

CVE-2016-3951

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel sound subsystem

CVE-2014-4655

بالا

آسیب‌پذیری دسترسی زیاد در kernel ASN.1 decoder

CVE-2016-2053

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm radio interface layer         

CVE-2016-3864

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm subsystem driver         

CVE-2016-3858

بالا

آسیب‌پذیری دسترسی زیاد در kernel networking subsystem

CVE-2016-4805

بالا

آسیب‌پذیری دسترسی زیاد در Synaptics touchscreen driver

CVE-2016-3865

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm camera driver

CVE-2016-3859

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm IPA driver

CVE-2016-3867

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm power driver

CVE-2016-3868

بالا

آسیب‌پذیری دسترسی زیاد در Broadcom Wi-Fi driver

CVE-2016-3869

بالا

آسیب‌پذیری دسترسی زیاد در  kernel eCryptfs filesystem

CVE-2016-1583

بالا

آسیب‌پذیری دسترسی زیاد در  NVIDIA kernel

CVE-2016-3873

بالا

آسیب‌پذیری دسترسی زیاد در  Qualcomm Wi-Fi driver

CVE-2016-3874

بالا

آسیب‌پذیری انکار سرویس در kernel networking subsystem

CVE-2015-1465

 CVE-2015-5364

بالا

آسیب‌پذیری انکار سرویس در kernel ext4 file system

CVE-2015-8839

بالا

آسیب‌پذیری افشای اطلاعات در Qualcomm SPMI driver         

CVE-2016-3892

متوسط

آسیب‌پذیری افشای اطلاعات در Qualcomm sound code         

CVE-2016-3893

متوسط

آسیب‌پذیری افشای اطلاعات در Qualcomm DMA component

CVE-2016-3894

متوسط

آسیب‌پذیری افشای اطلاعات در kernel networking subsystem

CVE-2016-4998

متوسط

آسیب‌پذیری انکار سرویس در kernel networking subsystem

CVE-2015-2922

متوسط

آسیب‌پذیری در Qualcomm components

CVE-2016-2469

بالا

 

اصلاحیه ۰۶/۰۹/۲۰۱۶، دو آسیب‌پذیری که یکی از آن‌ها بسیار مهم و مربوط به بخش Kernel Shared Memory Subsystem است و دیگری یک ضعف با اهمیت در بخش Qualcomm Networking است را برطرف می‌کند.

 

خلاصه آسیب پذیری

موضوع

CVE

شدت

آسیب‌پذیری دسترسی زیاد در kernel shared memory subsystem

CVE-2016-5340

بحرانی

آسیب‌پذیری دسترسی زیاد در Qualcomm networking component

CVE-2016-2059

بالا

 
 

تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید

تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید

امروزه با توجه به تولید انبوه برنامه‌های کاربردی اندرویدی و ارائه آن‌ها در بازارهای ایرانی و خارجی و همچنین دانش اندک بیشتر کاربران سیستم‌عامل اندروید، باید در مورد خطرات احتمالی آن دست از برنامه‌هایی که تهدیداتی را برای کاربران دستگاه‌های اندرویدی ایجاد می‌کنند اطلاع‌رسانی شود. بسیاری از برنامه‌های کاربردی چه ایرانی و چه خارجی با دریافت یکسری مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید پرسیده شود این است که آیا تابه‌حال مجوزهای درخواستی برنامه کاربردی اندرویدی شما قبل از نصب را مطالعه کرده‌اید؟ تعداد افرادی که این مجوزها را مطالعه می‌کنند انگشت‌شمار هستند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند. از عدم آگاهی و نیز بی‌توجهی بیشتر کاربران، توسعه‌دهندگان برنامه‌های کاربردی مجوزهایی را از کاربران می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند. هدف از این گزارش آگاه‌سازی کاربران در مورد مجوزهایی است که برنامه‌های کاربردی اندرویدی درخواست می‌کنند.

در ابتدا باید عنوان کرد که مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاع‌رسانی را به کاربران اعلام می‌دارند. هنگامی‌که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم یک پنجره پاپ آپ ظاهر می‌شود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش می‌گذارد که این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند.

 

شاید رد کردن یا تفویض مجوزهای درخواستی برنامه کاربردی در حال نصب ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده برنامه کاربردی را درک نمود.

بیشتر شرکت‌های اینترنتی از متدهای عمومی مشابهی برای آگاه‌سازی کاربران در خصوص داده‌هایی که قرار است مورداستفاده قرار گیرند بهره می‌برند. در سیستم‌عامل اندروید یک ارتباط سه سویه بین کاربر، گوگل (طراح و ارائه‌دهنده سیستم‌عامل اندروید) و توسعه‌دهندگان برنامه کاربردی شخص سوم وجود دارد. گوگل درواقع ارتباط بین کاربر و توسعه‌دهندگان شخص سوم را با استفاده از مجموعه‌ای از مجوزها برای هر برنامه کاربردی دانلود شده توسط کاربر، مدیریت می‌کند. مجوزها درواقع نیازمندی‌های توسعه‌دهندگان را برای چگونگی تعامل برنامه کاربردی تولیدشده با دستگاه کاربر مشخص کرده و دسترسی به نوع اطلاعات درخواستی برنامه کاربردی را نیز تعیین خواهد کرد.

در اکوسیستم اندروید بیشترین فشار بر روی توسعه‌دهندگان است تا مجوزهایی که به کاربر نشان داده می‌شوند، نحوه کار برنامه کاربردی را به‌درستی انتخاب و به نمایش بگذارند. پس‌ازاینکه توسعه‌دهنده برنامه کاربردی یک برنامه را ایجاد کرد، مجوزهای صحیح را به‌درستی انتخاب نمود و لیستی از کاربران هدفی که درنهایت با این مجوزها موافقت نموده‌اند را تهیه کرد، گوگل برنامه کاربردی تولیدی را به‌منظور شناسایی بدافزار و تشخیص کدهای مخرب مورد ارزیابی قرار خواهد داد. محدوده مجوزها برای تعامل برنامه کاربردی از اجازه دسترسی به بخش ویژه‌ای از سخت‌افزار دستگاه (به‌عنوان‌مثال فلش دوربین عکاسی) آغاز می‌شود و تا دسترسی به لیست مخاطبان کاربر ادامه می‌یابد. کاربر نیز باید با تمام مجوزهای لیست شده قبل از نصب برنامه کاربردی موافقت نماید.

اصول مجوزهای برنامه‌های کاربردی گوگل

مستندسازی مجوزها آن‌هم با وجود تنوع زیاد مجوزها و نیازمندی‌های متفاوت برنامه‌های کاربردی از کاربران بسیار سخت است. در این بخش گزارشی از بررسی‌ مجوزهای برنامه‌های موجود در فروشگاه Google Play با تمرکز ویژه روی مجوزهایی که به‌صورت بالقوه به برنامه کاربردی این اجازه را می‌دهند تا اطلاعات شخصی کاربر را جمع‌آوری و یا به اشتراک بگذارند ارائه شده است.

درمجموع با بررسی 1041336 برنامه کاربردی در این آزمایش باید عنوان کرد که تنها 235 مجوز انحصاری و خاص وجود داشته است. بیشتر برنامه‌های کاربردی مجوزهای زیادی را طلب می‌کنند و بیشترین تعداد مجوزهای درخواستی از برنامه‌های کاربردی این آزمون تعداد 127 مجوز بوده است که برای یک برنامه کاربردی مقدار بسیار زیادی است. برنامه‌های کاربردی دیگری هم هستند که تعداد انگشت‌شماری مجوز درخواست می‌کنند که میانگین مجوزهای درخواستی از یک برنامه کاربردی تنها 5 مجوز بوده است. در این گزارش تحلیلی باید اشاره کرد که 100000 برنامه نیز مجوزی را درخواست نکرده‌اند.

بیشترین مجوزهای برنامه‌های کاربردی در فروشگاه Google Play

مجوز

کاری که مجوز انجام می‌دهد "به برنامه کاربردی اجازه می‌دهد تا ..."

تعداد برنامه‌های کاربردی

% از برنامه‌های کاربردی

مجوز سخت‌افزاری یا اطلاعات کاربر

دسترسی کامل به شبکه

(Full network access)

... یک درگاه شبکه ایجاد کرده و از پروتکل‌های معمول شبکه استفاده می‌کند. مرورگر و دیگر برنامه‌های کاربردی داده را از طریق اینترنت ارسال می‌کنند که این بدان معنا است که مجوز نیازی به ارسال داده از طریق اینترنت را نباید داشته باشد.

855873

83%

سخت‌افزار

مشاهده ارتباطات شبکه

(View network connections)

... مشاهده اطلاعات درباره ارتباطات شبکه، به‌عنوان‌مثال تشخیص اینکه کدام شبکه وجود دارد و متصل است.

714607

69%

سخت‌افزار

آزمون دسترسی به حافظه حفاظت‌شده

(Test access to protected storage)

... آزمون مجوز مربوط به حافظه USB که بر روی دستگاه‌های آینده قابل‌دسترس خواهند بود. به برنامه کاربردی اجازه می‌دهد تا مجوز را برای SD card آزمایش نماید.

562442

54%

سخت‌افزار

تنظیم یا حذف محتوای موجود بر روی حافظه USB

(Modify or delete the contents of your USB storage)

... نوشتن بر روی حافظه USB. به برنامه کاربردی اجازه نوشتن بر روی SD card را می‌دهد.

559941

54%

اطلاعات کاربر

خواندن وضعیت تلفن و هویت

(Read phone status and identity)

... دسترسی به ویژگی‌های تلفن. این مجوز به برنامه کاربردی اجازه می‌دهد تا شماره‌های تلفن و ID را به هنگام برقراری تماس تشخیص دهد.

361616

35%

اطلاعات کاربر

جلوگیری از به خواب رفتن گوشی

(Prevent device from sleeping)

... ممانعت از به خواب رفتن گوشی. به برنامه کاربردی اجازه می‌دهد تا مانع به خواب رفتن گوشی شود.

279775

27%

سخت‌افزار

موقعیت مکانی دقیق(مبتنی بر GPS و شبکه)

(Precise location(GPS and network-based)

... دریافت موقعیت مکانی دقیق با استفاده از سیستم موقعیت‌یاب جهانی (GPS) یا موقعیت مکانی دکل‌های مخابراتی و Wi-Fi. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص موقعیت مکانی شما را با استفاده از این مجوز دارند و به سبب آن مصرف انرژی بیشتری را برای دستگاه به همراه خواهند داشت.

246750

24%

اطلاعات کاربر

مشاهده ارتباطات بی‌سیم Wi-Fi

(View Wi-Fi connections)

... مشاهده اطلاعاتی درباره شبکه‌های Wi-Fi، ازجمله تشخیص فعال بودن Wi-Fi و اسامی دستگاه‌های Wi-Fi متصل شده.

235093

23%

اطلاعات کاربر

کنترل لرزاننده

(Control vibration)

... کنترل‌کننده لرزاننده

220594

21%

سخت‌افزار

موقعیت تقریبی(مبتنی بر شبکه)

(Approximate location (network-based)

... دریافت موقعیت مکانی تقریبی. این موقعیت مکانی از طریق سرویس‌های موقعیت مکانی به‌ویژه دکل‌های سلولی و Wi-Fi به‌دست می‌آیند. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص تقریبی موقعیت مکانی شما را با استفاده از این مجوز خواهند داشت.

216770

21%

اطلاعات کاربر

 

از مجموع 235 مجوز که در این گزارش تحلیلی شناسایی شده‌اند تنها 10 مجوز توسط 20% برنامه‌های کاربردی موجود در Google Play مورداستفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامه‌های کاربردی درخواست شده‌اند. اگر بخواهیم به‌صورت آماری نگاه کنیم تعداد 1000 برنامه از مجموع 1041336 که 0.09% از تعداد کل برنامه‌های کاربردی مورد تحلیل را شامل می‌شوند، مقدار 147 مجوز از مجموع 235 مجوز را درخواست کرده‌اند که با توجه به کل برنامه‌های مورد ارزیابی، مقدار زیادی از مجوزها را پوشش می‌دهند. البته باید این نکته را نیز اضافه نمود که مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را می‌تواند داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت! تحلیل ذکرشده به بررسی عمیق‌تر بر روی برنامه کاربردی به‌ویژه نوع مجوزهای درخواستی آن‌ها در فروشگاه Google Play می‌پردازد.

به‌طور ویژه مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند:

  • مجوزهایی که به برنامه کاربردی این اجازه را می‌دهند تا به اطلاعات کاربر دسترسی داشته باشند.
  • مجوزهایی که به برنامه کاربردی اجازه می‌دهند تا به‌صورت مستقیم با دستگاه تعامل داشته باشند.

توجه

تعریف "اطلاعات کاربر" یک تعریف عام از اطلاعات کاربر است. مجوزهایی که جهت دریافت "اطلاعات کاربر" صادر می‌شوند، فرض شده‌اند که هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد. به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاماً بخش مشخصی از سخت‌افزار نخواهد بود.

مجوزهایی که سخت‌افزار دستگاه را تحت کنترل قرار می‌دهند

از 235 مجوز انحصاری جمع‌آوری‌شده در این تحلیل، 165 نوع از آن‌ها به برنامه کاربردی اجازه می‌دهند تا با اجزای سخت‌افزاری یک دستگاه تعامل داشته باشند و به برنامه اجازه دسترسی دیگری ازجمله اطلاعات کاربر را نخواهد داد.

به‌عنوان‌مثال دو نمونه از عمومی‌ترین مجوزها به برنامه کاربردی اجازه اتصال به اینترنت را می‌دهند. مجوز "دسترسی کامل به شبکه" (که توسط 83% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا با هر شبکه‌ای که دستگاه به آن متصل است ارتباط برقرار نماید. درحالی‌که مجوز "مشاهده ارتباطات شبکه" (که توسط 69% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا هر شبکه‌ای که دستگاه به آن دسترسی دارد را ببیند. هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هردو مجوز "اطلاعات کاربر" و "مجوز سخت‌افزار" نیاز داشته باشد. درحالی‌که این دو مجوز به‌شدت فراگیر هستند اما اجازه دسترسی مستقیم به اطلاعات کاربر را به برنامه کاربردی نمی‌دهند.

نمونه‌هایی از کارکردهای این دست از مجوزها:

کنترل چراغ‌قوه – این مجوز به برنامه کاربردی این اجازه را می‌دهد تا با چراغ(فلش) موجود در گوشی هوشمند و یا رایانک مالشی تعامل داشته باشد. عموماً این چراغ مربوط به دوربین عکاسی است اما یک برنامه کاربردی توانایی استفاده از چراغ دوربین با قابلیت روشن و یا خاموش نگاه‌داشتن ممتد برای ایجاد یک "چراغ‌قوه" را خواهد داشت.

تنظیمات تصاویر زمینه – این مجوز به یک برنامه کاربردی این اجازه را خواهد داد تا یک تصویر را در پس‌زمینه صفحه‌نمایش خانگی یک دستگاه تنظیم نماید (معمولاً در دستگاه‌های مبتنی بر سیستم‌عامل اندروید آن را "تصویر زمینه" نیز می‌نامند).

کنترل لرزاننده – این مجوز به یک برنامه کاربردی اجازه کنترل لرزاننده که در بیشتر گوشی‌های هوشمند وجود دارند را خواهد داد.

این نوع از مجوزها خیلی هم ساده و سطحی نیستند. اگر از این نوع از مجوزها به‌درستی استفاده نشوند (و یا به‌صورت مخرب استفاده شوند) یک برنامه کاربردی با یکی از این مجوزها می‌تواند به‌صورت بالقوه برای دستگاه کاربر خرابی و تهدید ایجاد نماید؛ اما این نوع از مجوزها به‌خودی‌خود به یک برنامه کاربردی اجازه دسترسی به اطلاعات کاربر را نمی‌دهند و باید کاربر مهر تائید را به آن برنامه کاربردی داده باشد.

مجوزهایی که دسترسی به اطلاعات کاربر را می‌دهند

دومین دسته‌بندی از مجوزها به برنامه کاربردی این اجازه را خواهند داد تا به انواع اطلاعات کاربر دسترسی داشته باشد. این دسته از مجوزها عموماً نسبت به دسته قبلی کمتر تفویض می‌شوند. درواقع از مجموع 235 مجوز مشخص‌شده در این آزمون، 70 مجوز به‌صورت بالقوه دسترسی به اطلاعات کاربر را ممکن خواهند ساخت.

نمونه‌هایی از این نوع مجوزها می‌تواند مجوزهایی باشند که به برنامه کاربردی اجازه می‌دهند تا تصاویر موجود در کتابخانه تصاویر کاربر را تغییر و یا حذف نماید. نمونه دیگر از این نوع مجوزها می‌تواند خواندن لیست مخاطبان کاربر نیز باشد.

بیشترین مجوزهای برنامه‌های کاربردی که توانایی دسترسی به اطلاعات کاربر را دارند

مجوز

کاری که مجوز انجام می‌دهد "به برنامه کاربردی اجازه می‌دهد تا ..."

تعداد از برنامه‌های کاربردی

% از برنامه‌های کاربردی

تغییر یا حذف محتوا از حافظه USB

(Modify or delete the contents of your USB storage)

... نوشتن روی حافظه USB. به برنامه کاربردی اجازه نوشتن روی SD card را می‌دهد.

559941

54%

خواندن وضعیت و هویت تلفن

(Read phone status and identity)

... دسترسی به قابلیت‌های تلفن دستگاه. این مجوز به برنامه کاربردی اجازه تشخیص شماره تلفن و ID دستگاه را به هنگام برقراری تماس خواهد داد.

361616

35%

موقعیت مکانی دقیق(مبتنی بر GPS و شبکه)

(Precise location (GPS and network-based))

دریافت موقعیت مکانی دقیق با استفاده از سیستم موقعیت‌یاب جهانی (GPS) یا موقعیت مکانی دکل‌های مخابراتی و Wi-Fi. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص موقعیت مکانی شما را با استفاده از این مجوز خواهند یافت و به سبب آن مصرف انرژی بیشتری را برای دستگاه به همراه خواهند داشت.

246750

24%

مشاهده ارتباطات بی‌سیم Wi-Fi

(View Wi-Fi connections)

... مشاهده اطلاعاتی درباره شبکه‌ها Wi-Fi، ازجمله تشخیص فعال بودن Wi-Fi و اسامی دستگاه‌های Wi-Fi متصل شده.

235093

23%

موقعیت تقریبی(مبتنی بر شبکه)

(Approximate location (network-based))

... دریافت موقعیت مکانی تقریبی. این موقعیت مکانی از طریق سرویس‌های موقعیت مکانی به‌ویژه دکل‌های سلولی و Wi-Fi به‌دست می‌آیند. این سرویس‌های موقعیت مکانی باید برای دستگاه مورد نظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص تقریبی موقعیت مکانی شما را با استفاده از این مجوز خواهند داشت.

216770

21%

پیدا کردن حساب‌های کاربری روی دستگاه

(Find accounts on the device)

... دریافت لیست حساب‌های کاربری شناخته‌شده برای دستگاه که می‌تواند شامل هر حساب کاربری ایجادشده توسط برنامه کاربردی نصب‌شده روی دستگاه را پوشش دهد. به برنامه کاربردی اجازه می‌دهد تا لیست حساب‌های کاربری شناخته‌شده در دستگاه را دریافت نماید.

162925

16%

گرفتن عکس و فیلم

(Take pictures and videos)

... گرفتن عکس و فیلم از طریق دوربین دستگاه. این مجوز به برنامه کاربردی اجازه خواهد داد تا با استفاده از دوربین تعبیه‌شده در دستگاه بدون گرفتن تائید از کاربر اقدام به گرفتن عکس و فیلم نماید.

124733

12%

برقراری تماس مستقیم با شماره‌های تلفن موجود در دستگاه

(Directly call phone numbers)

... برقراری تماس با شماره‌های تلفن دستگاه، ازجمله شماره‌های ضروری، بدون مداخله کاربر. برنامه‌های کاربردی مخرب می‌توانند تماس‌های غیرضروری و غیرقانونی را با سرویس‌های اورژانس برقرار نمایند.

84290

8%

خواندن لیست مخاطبان

(Read your contacts)

... خواندن داده‌های مربوط به لیست مخاطبان ذخیره‌شده در رایانک مالشی شما که می‌تواند شامل مخاطبانی که دفعات زیادی اقدام به برقراری تماس، ارسال ایمیل کرده‌اید. این مجوز به برنامه‌های کاربردی اجازه خواهند داد تا داده‌های لیست مخاطبان شما را ذخیره کنند، یک برنامه مخرب می‌تواند بدون آگاهی شما لیست مخاطبان را به اشتراک بگذارد.

64377

6%

خواندن لاگ‌های تماس

(Read call log)

... خواندن لاگ تماس که می‌تواند درباره داده‌های تماس ورودی و خروجی باشد. این مجوز به برنامه‌های کاربردی اجازه خواهند داد تا داده‌های لاگ تماس را ذخیره کنند و برنامه‌های کاربردی مخرب می‌توانند این داده‌ها را به اشتراک بگذارند.

42797

4%

 

اگر بخواهیم به‌صورت موردی بررسی کنیم، مجوزی مثل مشاهده ارتباطات بی‌سیم ممکن است اطلاعات بسیار کمی را برای برنامه کاربردی افشا نماید اما یک برنامه کاربردی می‌تواند شبکه‌های بی‌سیم در دسترس را مشاهده نموده و اطلاعات‌پایه در مورد آن‌ها را جمع‌آوری نماید. در مورد نوع اطلاعات جمع‌آوری‌شده و منظور و هدف جمع‌آوری این دست از اطلاعات باید مشخص نمود که برنامه موردنظر به چه منظوری و با چه نیتی این اطلاعات را جمع‌آوری نموده است تا مشخص شود چه نوع اطلاعاتی ازنظر کاربر حساس و ضروری هستند؛ بنابراین هرگونه اطلاعات از کاربر می‌تواند به‌صورت بالقوه حساس باشد و مورد تحلیل قرار گیرد.

5 مجوزی که باید نسبت به آن‌ها محتاط‌تر باشید

تعداد اندکی از مجوزها هستند که باید در خصوص آن‌ها احتیاط لازم را مبذول نمایید. البته نه به خاطر اینکه این نوع از مجوزها خطرناک هستند، بلکه به این دلیل که تفویض این نوع مجوزها ممکن است پیامدهای وسیعی را برای کاربر به همراه خواهد داشت، البته این پیامد زمانی حاصل خواهد شد که داده‌های کاربر در دست شخص نادرستی قرار گیرند.

  1. موقعیت مکانی

دو نمونه از مجوزهای موقعیت مکانی وجود دارند که برنامه‌های کاربردی اندرویدی به آن نیازمند هستند.

  • موقعیت مکانی تقریبی (مبتنی بر شبکه)
  • موقعیت مکانی دقیق (مبتنی بر GPS و شبکه)

سؤالی که وجود دارد این است که برنامه کاربردی برای چه منظوری نیازمند موقعیت مکانی دقیق شما است؟ به‌عنوان‌مثال برنامه کاربردی موقعیت‌یاب Waze برای اجرا نیازمند چنین اطلاعاتی خواهد بود. مهم‌تر این‌که برخی از برنامه‌های کاربردی هدفشان ارسال آگهی‌های بازرگانی بر اساس موقعیت مکانی کاربران است که این دست از برنامه‌ها نیز خواهان دسترسی به اطلاعات مکانی کاربر خواهند بود. البته این دست از برنامه‌های کاربردی عموماً رایگان هستند که در زمان اجرا آگهی‌های بازرگانی را نیز بر اساس موقعیت مکانی کاربر به نمایش می‌گذارند.

  1. وضعیت گوشی و هویت آن

این نوع مجوز مشکل‌ساز خواهد بود زیرا تمامی اطلاعات مربوط به نیازمندی‌های یک تماس ورودی به گوشی همراه ازجمله شماره IMEI دستگاه موردنظر را به برنامه کاربردی خواهد داد.

 

این نوع مجوز ممکن است به‌صورت بالقوه برای مقاصد خرابکارانه مورداستفاده قرار بگیرد بنابراین به هنگام درخواست برنامه کاربردی برای دریافت این مجوز محتاط‌تر عمل کنید. اگر برنامه‌ای بدون دلیل منطقی درخواست چنین مجوزی را نمود به بررسی مجوز با توجه به کارایی آن برنامه اقدام نمایید.

  1. خواندن و تنظیم لیست مخاطبان شما

این نوع از مجوزهایی که برنامه کاربردی نیازمند دسترسی به خواندن و تنظیم مخاطبان کاربر هستند می‌تواند مشکل‌ساز شود، درواقع مجوز تنظیم مخاطبان زمانی خطرناک خواهد بود که برنامه کاربردی مجوز خواندن تمامی اطلاعات موجود روی گوشی شما را دریافت نماید.

برنامه‌های کاربردی مدیریت SMS، برنامه‌های کاربردی مدیریت مخاطبان، برنامه کاربردی که جایگزین شماره‌گیر گوشی می‌شوند و حتی برخی از برنامه‌های کاربردی اجتماعی نیز نیازمند چنین مجوزهایی خواهند بود ولی نکته‌ای که وجود دارد این است که برنامه‌های کاربردی که جنبه‌های اجتماعی ندارند لزومی به تفویض چنین مجوزهایی را نخواهند داشت.

  1. مجوزهای مربوط به SMS و MMS

این نوع از مجوزها می‌توانند به‌صورت بالقوه هزینه‌هایی را برای کاربر ایجاد نمایند، اگر برنامه کاربردی مخربی ازاین‌گونه مجوزها استفاده کند هزینه‌هایی را به‌وسیله SMS های قانونی و یا اعمال یکسری هزینه‌های اضافی به ازای هر SMS و MMS ارسالی برای کاربر ایجاد خواهد کرد.

مجوزهای خواندن پیام‌های متنی و دریافت پیام‌های متنی توانایی نفوذ به حریم خصوصی شما را خواهند داشت اگر دلیل خاصی برای تفویض این نوع از مجوزها به برنامه کاربردی خود ندیدید از دادن این مجوزها جدا خودداری کنید.

  1. مجوزهای مربوط به حساب‌های کاربری

پیدا کردن حساب‌های کاربری بر روی دستگاه به برنامه کاربردی این امکان را می‌دهد تا از طریق مدیریت حساب‌های کاربری که سیستم‌عامل اندروید در خود جای‌داده است به بررسی حساب‌های کاربری ازجمله سرویس‌های google، Facebook و غیره نماید.

استفاده از حساب‌های کاربری روی دستگاه اندرویدی به برنامه کاربردی اجازه می‌دهد تا برای استفاده از حساب کاربری درخواست مجوز نماید. هنگامی‌که مجوز موردنیاز داده شد برنامه کاربردی موردنظر دیگر درخواست مجدد مجوز نخواهد کرد. نگرانی زمانی وجود خواهد داشت که برنامه کاربردی مخرب بدون هیچ‌گونه نشان و رد پایی به کار خود ادامه می‌دهد و به‌صورت مخفیانه از حساب کاربری شما استفاده خواهد کرد.

راهکارهای ایمنی

  • بهترین راه برای ایمن ماندن رد درخواست برنامه کاربردی متقاضی مجوز مشکل ساز نیست، در عوض باید به نوع کارکرد برنامه کاربردی نگاه کرد و علت درخواست مجوز با توجه به کاری که آن برنامه انجام می‌دهد را بررسی نمود تا در صورت صحیح بودن علت درخواست مجوز موردنیاز به آن داده شود.
  • شما می‌توانید با ارسال یک ایمیل به توسعه‌دهنده برنامه کاربردی موردنظر درباره مجوزهای درخواستی سؤال کنید. اگر پاسخ توسعه‌دهنده راضی‌کننده نبود یا پاسخی را در کل از توسعه‌دهنده دریافت نکردید باید به برنامه کاربردی مجوز موردنیاز را ندهید.
  • اگر در مورد امنیت برنامه موردنظر اطمینان لازم را ندارید، شما باید از نقطه نظرات کاربران در خصوص استفاده از برنامه کاربردی استفاده کنید. (با بررسی فروم‌ها و فروشگاه‌های برنامه‌های کاربردی به نظرات کاربران توجه ویژه داشته باشید.)

مدیریت مجوزهای برنامه کاربردی

اگر شما به برنامه کاربردی اجازه دسترسی به حساب‌های کاربری خود را داده‌اید بهتر است مجوزهای حساب‌های کاربری خود را مدیریت کنید که این کار با رفتن به تنظیمات حساب کاربری و مشخص کردن مجوزها برای برنامه کاربردی موردنظر قابل‌حل خواهد بود.

شما همچنین می‌توانید با رفتن به Settings>Apps، مجوزهای اصلی برنامه‌های کاربردی را بررسی کنید. کافی است برنامه کاربردی موردنظر را انتخاب کنید و مجوزهای آن را مشاهده نمایید.

برنامه‌های کاربردی مدیریت مجوزها

شما همچنین می‌توانید از برنامه‌های کاربردی، همچون Permission Explorer برای مدیریت مجوزها استفاده کنید. این نوع از برنامه‌ها به شما این امکان را می‌دهند تا با اعمال یکسری فیلترها بر اساس دسته‌بندی، برنامه کاربردی و مجوزها شما را در مدیریت بهتر مجوزهای تفویض شده به برنامه کاربردی با جزئیات بیشتر آگاه سازد. از دیگر برنامه‌های مشابه می‌توان به Permissions Observatory و App Permissions اشاره نمود.

 

اندکی زمان را برای بررسی مجوزهای درخواستی برنامه کاربردی نصب‌شده بر روی دستگاه اندرویدی خود صرف نمایید، این کار باعث می‌شود تا برنامه‌هایی را که از مجوزهای مشکل‌ساز استفاده می‌کنند، شناسایی کرده و در مورد حذف و یا صحت کارکرد آن‌ها اقدامات لازم را انجام دهید.

لغو مجوزهای برنامه کاربردی

هنگامی‌که شما برنامه کاربردی متخلف را شناسایی کردید اکنون زمان اتخاذ تصمیم مناسب است. به‌صورت پیش‌فرض روشی برای مدیریت مجوزهای برنامه کاربردی در نسخه‌های اندروید لحاظ نشده است و از نسخه 4.4.2 اندروید، گوگل ویژگی AppOps را در سیستم‌عامل خود قرار داده است.

اگر شما همچنان از نسخه غیر روت شده 4.4.2 و یا نسخه 4.3 اندروید استفاده می‌کنید شما توانایی حذف کامل برنامه‌های کاربردی که مجوزهای غیرمتعارف را دریافت کرده‌اند را خواهید داشت. البته اگر سیستم شما روت شده هم باشد باید گفت که گزینه‌های بیشتری برای شما وجود خواهد داشت تا با این دست مشکلات برخورد کنید.

برنامه‌های کاربردی مدیریت مجوزها (دستگاه‌های روت شده)

شما می‌توانید برنامه Xposed Framework یا برنامه XPrivacy را روی دستگاه خود نصب کنید. XPrivacy یکی از بهترین برنامه‌های کاربردی مدیریت مجوزهای برنامه کاربردی است که به‌راحتی قابل‌دسترسی بوده و به شما این اجازه را می‌دهد تا تمام مجوزهایی را که یک برنامه کاربردی ممکن است نیاز داشته باشد را لغو و یا ببندد. شما می‌توانید با استفاده از XPrivacy Installer هر دو برنامه Xposed Framework و XPrivacy به‌راحتی نصب کنید.

نتیجه‌گیری

درمجموع باوجود تعبیه شدن تنظیمات حریم خصوصی و امنیتی پیش‌فرض در دستگاه‌های مبتنی بر سیستم‌عامل اندروید، اندکی ضعف در این نوع تنظیمات دیده می‌شود. توسعه‌دهندگان برای افزایش قابلیت‌های کلیدی برنامه‌های کاربردی خود نیاز به دریافت تائید مجوز برای دسترسی به اطلاعات کاربر را دارند و متأسفانه به‌طور کامل نمی‌توان به توسعه‌دهندگان اطمینان داشت. راهکاری که می‌تواند کارساز باشد این است که کاربر مجوزهای موردنیاز برنامه‌های خود را به هنگام نصب بررسی کرده و به آن‌ها توجه ویژه‌ای داشته باشد به‌خصوص آن دسته از کاربرانی که برنامه‌های کاربردی خود را از فروشگاه‌های غیر معتبر دریافت می‌کنند.

 

صفحات: 1 2 3 »