اخبار

دسترسی بسیاری از اپلیکیشن‌ها به داده‌های شخصی بدون اجازه کاربر

وقتی اپلیکیشنی را در اندروید یا iOS نصب می‌کنید، در هنگام اجرا برای اولین بار، اپلیکیشن از شما اجازه دسترسی به داده‌های شخصی مثل موقعیت مکانی، پیام‌ها، تاریخچه تماس‌ها، عکس‌ها و … را سؤال می‌کند. مطمئنا سؤالاتی از این دست را دیده‌اید که «آیا اپلیکیشن اجازه دسترسی به عکس‌ها را دارد؟». وقتی شما به چنین سؤالی پاسخ منفی می‌دهید، به خیال خودتان اپلیکیشن مورد نظر امکان دسترسی به عکس‌های موجود در گوشی شما را نخواهد داشت، اما به گفته پژوهشگران آمریکایی مؤسسه ICSI، حتی زمانی که شما چنین اجازه‌ای را به اپلیکیشن نمی‌دهید، برخی از اپلیکشن‌ها باز هم می‌توانند به عکس‌های شما دسترسی داشته باشند.شاید شما نیز جز آن دسته از کاربران گوشی‌های هوشمند اندرویدی باشید که تصور می‌کنید بعد از نصب و دانلود اپلیکیشن‌های مورد نظر خود، تنها در صورتی که به آن‌ها اجازه دسترسی به لوکیشن (مکان جغرافیایی) یا سایر اطلاعات شخصی همچون دسترسی به گالری و شماره تماس مخاطبین خود را بدهید، آن‌ها دسترسی خواهند داشت، اما حالا پژوهشگران و محققان به تازگی دریافته و اعلام کردند که ۱۳۲۵ اپلیکیشن اندرویدی بدون اجازه کاربران به اطلاعات شخصی و لوکیشن آن‌ها دسترسی دارند.

اجازه‌ای که در ابتدا به یک اپلیکیشن‌ اندرویدی داده می‌شود، به منزله دربانی‌ست که باید میزان خروج داده‌های حساس و شخصی دیوایس شما را کنترل کند. اما مقاله‌ای که اخیرا در کنفرانس PrivacyCon 2019، در “کمیسیون تجاری فدرال” یا FTC ارائه شد، خلاف این قضیه را ثابت می‌کند. این مقاله – که با عنوان “پنجاه راه برای نشت داده شما” منتشر شده – نشان می‌دهد، بیش از هزار اپلیکیشن موجود در Google Play، بر خلاف میل کاربر و با دور زدن محدودیت‌های اعمال‌شده توسط وی، خیلی راحت می‌توانند داده‌های شخصی او را کندوکاو کنند. با یک نگاه اجمالی به نتایج پژوهش فوق، به این نکته پی می‌بریم که حفظ حریم شخصی در فضای آنلاین تا چه اندازه دشوار است، به ویژه اگر به گوشی هوشمند خود و اپلیکیشن‌های آن شدیدا وابسته باشید. در حال حاضر، کمپانی‌های فناوری حجم زیادی از داده‌های شخصی میلیون‌ها نفر در سراسر دنیا را در اختیار دارند؛ اینکه فرد کجاها بوده، با چه کسانی دوست است و به چه چیزهایی علاقه دارد. از همین رو، قانون‌گذاران با وضع قوانینی در حوزه حریم خصوصی، سعی در کنترل این وضعیت داشته‌اند. شرکت‌هایی مثل گوگل و اپل نیز به منظور حفاظت بیشتر از حریم خصوصی، امکانات جدیدی را برای بهبود حریم شخصی کاربر ارائه نموده‌اند، اما ظاهرا این اقدامات حداقل در مورد نتایج این تحقیق کافی نبوده است. طبق گفته پژوهشگران “مؤسسه بین‌المللی علوم کامپیوتری” (ICSI)، حداقل 1,325 اپلیکیشن اندرویدی وجود دارد که حتی پس از اینکه کاربر اجازه دسترسی به برخی داده‌ها را نمی‌دهد، باز هم جمع‌آوری داده را ادامه می‌دهند. سرج اگلمن (Serge Egelman)، مدیر پژوهشی حوزه حریم شخصی و امنیت در مؤسسه ICSI، در هنگام ارائه مقاله تیم تحقیقاتی در اواخر ژوئن عنوان کرد: «اساسا، مصرف‌کنندگان برای کنترل منطقیِ حریم شخصی خود و تصمیم‌گیری درباره آن، ابزارها و نشانه‌های خیلی کمی را در اختیار دارند. اگر توسعه‌دهندگان اپلیکیشن‌ها می‌توانند این سیستم را دور بزنند، در این صورت سؤال پرسیدن از مصرف‌کنندگان برای کسب اجازه، تقریبا بی‌معنی‌ست.»

بر اساس گزارش وب سایت phonearena، این تحقیق که روی ۸۸ هزار اپلیکیشن اندرویدی صورت گرفته است، در نهایت منجر به اعلام ۱۳۲۵ اپلیکیشن شد که کد نویسی آن به گونه‌ای انجام شده که قادر است بسیاری از اطلاعات خصوصی کاربران از جمله تصاویر و اتصال به اینترنت وای فای آنها را ذخیره سازی کنند.

‏سرگئی ایگلمن، دبیر امنیت کاربران و تحقیقات بخش حریم خصوصی در این مؤسسه تمامی اطلاعات به دست آمده را در جریان برگزاری کنفرانسی در همین حوزه ارائه داده و و خاطرنشان کرده است که به گوگل نیز در سپتامبر سال گذشته در این مورد هشدار داده است و این غول تکنولوژی نیز در پاسخ به نگرانی این کارشناسان امنیتی اعلام کرده که مشکلات مربوط به اپلیکیشن‌های مذکور را با انتشار نسخه جدید این سیستم عامل یعنی اندروید Q برطرف خواهد کرد.

در این میان اپلیکیشن‌های معروفی از جمله سامسونگ هلث و برخی دیگر از مرورگرهای اینترنتی که روی بالغ بر ۵۰۰ میلیون دستگاه نصب و دانلود شده است، به چشم می‌خورد.

به عنوان مثال، پژوهشگران به اپلیکیشن Shutterfly (یکی از معروف‌ترین برنامه‌های ویرایش عکس) اشاره کردند که پس از جمع‌آوری مختصات GPS از عکس‌ها، آنها را به سرورهای خود ارسال می‌کرد و این کار حتی هنگامی که کاربر اجازه دسترسی به داده‌های لوکیشن را نمی‌داد نیز ادامه می‌یافت.

اما سخنگوی کمپانی Shutterfly، با رد این ادعا، اظهار کرد که این شرکت تنها با اجازه صریح از سوی کاربر، اقدام به جمع‌آوری داده‌های لوکیشن کرده است. وی در ادامه افزود: «مثل بسیاری از سرویس‌های عکسی، Shutterfly هم از این داده‌ها استفاده می‌کند تا با امکاناتی مثل طبقه‌بندی و پیشنهادهایی در رابطه با شخصی‌سازی محصول، تجربه کاربری را ارتقا دهد.» وی خاطرنشان کرد که همه اینها مطابق با سیاست حریم خصوصی Shutterfly و توافق با توسعه‌دهنده اندروید انجام می‌شود.

البته طی این پژوهش، روش دیگری نیز برای سرقت داده مشاهده شد. برخی اپلیکیشن‌ها برای سرقت داده، از اپلیکشن‌هایی که کاربران به آنها اجازه داده بودند استفاده کرده و از طریق این کانال، به شناسه‌های گوشی مثل شماره IMEI دسترسی پیدا می‌کردند. این اپلیکیشن‌ها با خواندن دقیق فایل‌های محافظت نشده روی اس‌دی کارت موجود در دیوایس، به جمع‌آوری داده‌هایی می‌پردازند که اجازه دسترسی به آنها را نداشتند. با این حساب، اگر شما به اپلیکیشنی اجازه دسترسی به داده‌های شخصی را بدهید و این اپلیکیشن، داده‌های مذکور را در فولدری روی اس‌دی کارت ذخیره کند، بعید نیست یک اپلیکیشن‌ جاسوسی بتواند این داده‌ها را سرقت کند.

چگونگی استفاده اپلیکیشن 2 فاقد اجازه دسترسی از منابع اپلیکیشن 1 دارای دسترسی

در ظاهر، این دو اپلیکیشن هیچ ارتباطی با هم ندارند، اما به گفته پژوهشگران، چون هر دوی آنها با استفاده از یک کیت توسعه نرم‌افزار یا SDK توسعه یافته‌اند، می‌توانند به این داده‌ها دسترسی داشته باشند. شواهد نشان می‌دهد، کسی که نهایتا در این شرایط داده‌های شخصی را دریافت می‌کند، صاحب SDK است. برای درک بهتر موضوع، کودکی را تصور کنید که از پدرش تقاضای شکلات می‌کند و وقتی با پاسخ منفی او روبرو می‌شود، از مادرش درخواست می‌کند. به عنوان مثال، اپلیکیشن‌های Samsung Health و Disney – که از SDKهای ساخته شده توسط موتور جست‌وجوی Baidu و شرکت Salmonads استفاده می‌کنند – می‌توانند داده‌های شما را پس از ذخیره‌سازی روی گوشی کاربر، از اپلیکیشنی به اپلیکیشن دیگر (و همچنین به سرورهایشان) انتقال دهند.

گفتنی‌ست در پژوهش حاضر، تنها 13 اپلیکیشن مشاهده شد که به این روش به داده‌ها دسترسی داشتند، اما به گفته پژوهشگران، همین 13 اپلیکیشن بیش از 17 میلیون بار نصب شده بودند. طبق یافته‌های این پژوهش، 153 اپلیکیشن چنین قابلیتی را دارند که از این جمله می‌توان به اپلیکیشن Health و Browser (محصول سامسونگ) اشاره کرد که در حال حاضر روی بیش از 500 میلیون دستگاه نصب هستند.

مورد دیگری که پژوهشگران به آن برخوردند، گروهی از اپلیکیشن‌ها بودند که با اتصال به شبکه وای-فای و پی بردن به MAC آدرس روتر کاربر، اقدام به جمع‌آوری داده‌های مربوط به لوکیشن او می‌کردند. این پدیده در اپلیکیشن‌هایی مشاهده شد که نقش ریموت کنترل هوشمند را نیز ایفا می‌کردند. لازم به ذکر است این اپلیکیشن‌ها برای کارکرد خود هیچ نیازی به دانستن لوکیشن کاربر ندارند.

سرج اگلمن وعده داده که ماه آگوست با حضور در کنفرانس Usenix Security، ضمن ارائه جزییات بیشتری از این پژوهش، فهرست تمام 1,325 اپلیکیشنی که بدون اجازه کاربران به داده‌های شخصی آنها دسترسی پیدا می‌کردند را منتشر خواهد کرد.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا