بیش از هزار اپلیکیشن در پلی‌استور گوگل بدون مجوز به اطلاعات شخصی کاربران دسترس دارند

تحقیقات انجمن بین‌المللی علوم کامپیوتری (ICSI) نشان می‌دهند که بیش از هزار اپلیکیشن در پلی‌استور گوگل وجود دارند که دسترسی‌های غیرمجازی به اطلاعات کاربر پیدا کرده‌اند. کاربران اندروید در هنگام نصب یک نرم‌افزار از دسترسی‌های آن به محتوا و سرویس‌های تلفن مطلع می‌شوند، اما برخی از اپلیکیشن‌ها این قانون را شکسته‌اند و بدون مجوز کاربر به بخش‌های مختلف اسمارتفون اندرویدی دسترسی دارند. نتایج این تحقیقات نشان می‌دهند که اکثر این نرم‌افزارها از روش‌هایی برای دسترسی غیرمجاز به موقعیت مکانی و سایر اطلاعات حساس کاربران استفاده می‌کنند.

طبق آمار این انجمن، تعداد دقیق اپلیکیشن‌هایی که از دسترسی غیرمجاز برای به‌دست آوردن اطلاعات کاربران بهره می‌برند، 1325 مورد است و به‌نظر می‌رسد که گوگل باید در مورد عرضه این نرم‌افزارها در فروشگاه خود پاسخگو باشد. مطالعات انجام شده توسط این انجمن، در کنفرانس PrivacyCon به میزبانی کمیسیون تجارت فدرال (FTC) ارایه شدند.

در این مطالعه، 88000 اپلیکیشن اندرویدی مورد بررسی قرار گرفتند تا کارشناسان این انجمن از روش‌های دسترسی اپ‌ها به اطلاعات کاربر آگاهی پیدا کنند. نتیجه‌ای که از این تحقیق به‌دست آمد، کشف تعداد 1325 اپلیکیشن بود که از طریق اجرای کد‌های مختلف می‌توانست به‌وسیله فراداده‌های ذخیره‌شده در تصاویر و اتصالات وای‌فای به موقعیت مکانی کاربر دسترسی پیدا کند.

سرگ اگلمن، مدیر بخش امنیت و حریم خصوصی انجمن ICSI در کنفرانس PrivacyCon گفت که اطلاعات مربوط به این نرم‌افزارها را در سپتامبر سال گذشته به گوگل ارایه کرده‌ایم. گوگل نیز اعلام کرد که این مسئله را هم‌‌زمان با انتشار نسخه نهایی اندروید Q حل خواهد کرد. بنابراین، تا سه‌ماه آینده این نرم‌افزار‌ها در گوگل پلی‌استور باقی خواهند ماند.

گوگل نیز درباره این مسئله کم‌کار نکرده است، چرا که اطلاعات مکانی ذخیره‌شده در تصاویر از سایر اپلیکیشن‌ها مخفی می‌شوند تا این نرم‌افزارها هیچ دسترسی غیرمجازی به اطلاعات مکانی کاربر نداشته باشند. هم‌چنین، برنامه‌هایی که از طریق اتصال وای‌فای به اینترنت متصل می‌شوند، باید به اطلاعات مکانی کاربر دسترسی پیدا کنند، زیرا شناسایی شبکه‌های وای‌فای از طریق ویژگی موقعیت مکانی قابل انجام است.

سایر نرم‌افزار‌ها نیز با دزدیدن اطلاعات شخصی کاربر از یک برنامه دیگر، دسترسی‌های غیرمجاز به اطلاعات کاربر پیدا کرده‌اند. در این روش، نرم‌افزارهایی با استفاده از جمع‌آوری اطلاعات شخصی از طریق دسترسی خود به مجوزهای سایر برنامه‌ها مشغول به جاسوسی از کاربران بودند. تنها 13 اپلیکیشن اندروید از این تکنیک برای سرقت اطلاعات شخصی استفاده می‌کردند. این برنامه‌ها بیش از 17 میلیون بار توسط پلی‌استور گوگل برروی تلفن‌های اندرویدی نصب شده‌اند. نرم‌افزاری مثل Hong Kong Disneyland نیز شامل این لیست است. 153 نرم‌افزار نیز توانایی انجام این تکنیک را دارند. برنامه‌‌های Health و مرورگر اینترنت سامسونگ نیز در این دسته قرار می‌گیرند. این دو برنامه بیش از 500 میلیون بار برروی تلفن‌های هوشمند نصب شده‌اند.

نرم‌افزارهای غیرمجازی که درباره آن‌ها صحبت کردیم، توانایی سرقت اطلاعاتی مانند شماره IMEI تلفن را نیز دارند که یک شماره منحصر‌به‌فرد و شخصی است. سایر برنامه‌ها نیز به شبکه وای‌فای کاربر متصل می‌شوند تا به موقعیت مکانی آن دسترسی پیدا کنند. در این روش نیز شماره MAC دستگاه‌هایی که به شبکه وای‌فای متصل شده‌اند، در اختیار برنامه‌ها قرار می‌گیرد.

در این گزارش اشاره شده، اکثر برنامه‌هایی که از این روش برای سرقت اطلاعات استفاده می‌کنند در دسته نرم‌افزارهای کنترل از راه دور هوشمند قرار می‌گیرند. البته که برای دسترسی این نرم‌افزارها به موقعیت مکانی کاربر هیچ حق قانونی وجود ندارد.

اسامی 1325 اپلیکیشن در ماه آینده اعلام خواهد شد

برای تفهیم موضوع روش‌های جدید سرقت اطلاعات می‌توان به اپلیکیشن Shutterfly اشاره کرد. در گزارش منتشر‌شده توسط ICSI اعلام شد که این نرم‌افزار برای ثبت تصاویر از موقعیت مکانی کاربر استفاده کرده و داده‌های مربوطه را به سرور‌های شرکت ارسال می‌کند. حتی اگر کاربر مجوزهای لازم را برای دسترسی به موقعیت مکانی صادر نکند، این برنامه هم‌چنان به ارسال داده‌های مکانی ادامه خواهد داد. سخنگوی این برنامه، نتایج تحقیقات انجمن ICSI را انکار کرده و ادعا می‌کند که جمع‌آوری داده‌های مکانی تنها با کسب مجوز کاربر انجام می‌شود.

اگلمن اعلام کرد که نام این 1325 برنامه که بدون هیچ مجوزی به اطلاعات شخصی کاربران دسترسی دارند را طی کنفرانس Usenix Security در ماه آینده منتشر خواهد کرد تا کاربران از نصب آن‌ها خودداری کنند و قدم کوچکی را برای حفظ حریم خصوصی خود بردارند.

حدود دو ماه پیش نیز نشریه وال‌استریت ژورنال به کشف 80 اپلیکیشن در اپ‌استور اپل اشاره کرد که 79 عدد از آن‌ها دارای ردیاب مخفی بودند. این برنامه‌ها در لیست اپ‌های دوست‌داشتنی اپ‌استور (Apps We Love) قرار داشته و از تعداد نصب بسیار بالایی برخوردار بودند. این برنامه‌ها برای اهداف تبلیغاتی و آنالیز بازاریابی از موقعیت مکانی کاربران سواستفاده می‌کردند. به‌طور میانگین، تعداد چهار برنامه از دسته‌بندی‌های مختلف اپ‌استور اپل دارای ردیاب مخفی هستند.