تحقیقات انجمن بینالمللی علوم کامپیوتری (ICSI) نشان میدهند که بیش از هزار اپلیکیشن در پلیاستور گوگل وجود دارند که دسترسیهای غیرمجازی به اطلاعات کاربر پیدا کردهاند. کاربران اندروید در هنگام نصب یک نرمافزار از دسترسیهای آن به محتوا و سرویسهای تلفن مطلع میشوند، اما برخی از اپلیکیشنها این قانون را شکستهاند و بدون مجوز کاربر به بخشهای مختلف اسمارتفون اندرویدی دسترسی دارند. نتایج این تحقیقات نشان میدهند که اکثر این نرمافزارها از روشهایی برای دسترسی غیرمجاز به موقعیت مکانی و سایر اطلاعات حساس کاربران استفاده میکنند.
طبق آمار این انجمن، تعداد دقیق اپلیکیشنهایی که از دسترسی غیرمجاز برای بهدست آوردن اطلاعات کاربران بهره میبرند، 1325 مورد است و بهنظر میرسد که گوگل باید در مورد عرضه این نرمافزارها در فروشگاه خود پاسخگو باشد. مطالعات انجام شده توسط این انجمن، در کنفرانس PrivacyCon به میزبانی کمیسیون تجارت فدرال (FTC) ارایه شدند.
در این مطالعه، 88000 اپلیکیشن اندرویدی مورد بررسی قرار گرفتند تا کارشناسان این انجمن از روشهای دسترسی اپها به اطلاعات کاربر آگاهی پیدا کنند. نتیجهای که از این تحقیق بهدست آمد، کشف تعداد 1325 اپلیکیشن بود که از طریق اجرای کدهای مختلف میتوانست بهوسیله فرادادههای ذخیرهشده در تصاویر و اتصالات وایفای به موقعیت مکانی کاربر دسترسی پیدا کند.
سرگ اگلمن، مدیر بخش امنیت و حریم خصوصی انجمن ICSI در کنفرانس PrivacyCon گفت که اطلاعات مربوط به این نرمافزارها را در سپتامبر سال گذشته به گوگل ارایه کردهایم. گوگل نیز اعلام کرد که این مسئله را همزمان با انتشار نسخه نهایی اندروید Q حل خواهد کرد. بنابراین، تا سهماه آینده این نرمافزارها در گوگل پلیاستور باقی خواهند ماند.
گوگل نیز درباره این مسئله کمکار نکرده است، چرا که اطلاعات مکانی ذخیرهشده در تصاویر از سایر اپلیکیشنها مخفی میشوند تا این نرمافزارها هیچ دسترسی غیرمجازی به اطلاعات مکانی کاربر نداشته باشند. همچنین، برنامههایی که از طریق اتصال وایفای به اینترنت متصل میشوند، باید به اطلاعات مکانی کاربر دسترسی پیدا کنند، زیرا شناسایی شبکههای وایفای از طریق ویژگی موقعیت مکانی قابل انجام است.
سایر نرمافزارها نیز با دزدیدن اطلاعات شخصی کاربر از یک برنامه دیگر، دسترسیهای غیرمجاز به اطلاعات کاربر پیدا کردهاند. در این روش، نرمافزارهایی با استفاده از جمعآوری اطلاعات شخصی از طریق دسترسی خود به مجوزهای سایر برنامهها مشغول به جاسوسی از کاربران بودند. تنها 13 اپلیکیشن اندروید از این تکنیک برای سرقت اطلاعات شخصی استفاده میکردند. این برنامهها بیش از 17 میلیون بار توسط پلیاستور گوگل برروی تلفنهای اندرویدی نصب شدهاند. نرمافزاری مثل Hong Kong Disneyland نیز شامل این لیست است. 153 نرمافزار نیز توانایی انجام این تکنیک را دارند. برنامههای Health و مرورگر اینترنت سامسونگ نیز در این دسته قرار میگیرند. این دو برنامه بیش از 500 میلیون بار برروی تلفنهای هوشمند نصب شدهاند.
نرمافزارهای غیرمجازی که درباره آنها صحبت کردیم، توانایی سرقت اطلاعاتی مانند شماره IMEI تلفن را نیز دارند که یک شماره منحصربهفرد و شخصی است. سایر برنامهها نیز به شبکه وایفای کاربر متصل میشوند تا به موقعیت مکانی آن دسترسی پیدا کنند. در این روش نیز شماره MAC دستگاههایی که به شبکه وایفای متصل شدهاند، در اختیار برنامهها قرار میگیرد.
در این گزارش اشاره شده، اکثر برنامههایی که از این روش برای سرقت اطلاعات استفاده میکنند در دسته نرمافزارهای کنترل از راه دور هوشمند قرار میگیرند. البته که برای دسترسی این نرمافزارها به موقعیت مکانی کاربر هیچ حق قانونی وجود ندارد.
اسامی 1325 اپلیکیشن در ماه آینده اعلام خواهد شد
برای تفهیم موضوع روشهای جدید سرقت اطلاعات میتوان به اپلیکیشن Shutterfly اشاره کرد. در گزارش منتشرشده توسط ICSI اعلام شد که این نرمافزار برای ثبت تصاویر از موقعیت مکانی کاربر استفاده کرده و دادههای مربوطه را به سرورهای شرکت ارسال میکند. حتی اگر کاربر مجوزهای لازم را برای دسترسی به موقعیت مکانی صادر نکند، این برنامه همچنان به ارسال دادههای مکانی ادامه خواهد داد. سخنگوی این برنامه، نتایج تحقیقات انجمن ICSI را انکار کرده و ادعا میکند که جمعآوری دادههای مکانی تنها با کسب مجوز کاربر انجام میشود.
اگلمن اعلام کرد که نام این 1325 برنامه که بدون هیچ مجوزی به اطلاعات شخصی کاربران دسترسی دارند را طی کنفرانس Usenix Security در ماه آینده منتشر خواهد کرد تا کاربران از نصب آنها خودداری کنند و قدم کوچکی را برای حفظ حریم خصوصی خود بردارند.
حدود دو ماه پیش نیز نشریه والاستریت ژورنال به کشف 80 اپلیکیشن در اپاستور اپل اشاره کرد که 79 عدد از آنها دارای ردیاب مخفی بودند. این برنامهها در لیست اپهای دوستداشتنی اپاستور (Apps We Love) قرار داشته و از تعداد نصب بسیار بالایی برخوردار بودند. این برنامهها برای اهداف تبلیغاتی و آنالیز بازاریابی از موقعیت مکانی کاربران سواستفاده میکردند. بهطور میانگین، تعداد چهار برنامه از دستهبندیهای مختلف اپاستور اپل دارای ردیاب مخفی هستند.