شبكه اطلاع‌رساني روابط‌عمومي‌ ايران (شارا) || براي بسياري از افراد حضور يك برنامه نرم‌افزاري در فروشگاه‌هاي رسمي «گوگل ‌پلي» و «اپ‌‌استور» به منزله امن و معتمد بودن آن است. اما واقعيت چيز ديگري است و در سال‌هاي اخير، سودجويان اينترنتي راه‌هاي نفوذ به تلفن‌هاي مردم را از طريق انواع برنامه‌‌ها، به خوبي ياد گرفته‌اند. به همين دليل، شناخت نشانه‌هاي نرم‌افزارهاي ناامن و آشنايي با سازوكار تشخيص سرويس امن از ناامن، براي همه ضروري است.

گوگل‌پلي از روش‌هاي مختلفي براي سنجش ايمني برنامه‌ها استفاده مي‌كند. اين روش‌ها شامل به‌كارگيري سيستم‌هاي خودكار، فرايندهاي بازبيني انساني و بررسي راهكار‌هاي توسعه‌دهنده است.

سيستم‌هاي خودكار گوگل‌پلي، برنامه‌‌ها را براي خطرهاي امنيتي احتمالي، وجود بدافزارها و نقض خط‌مشي بررسي مي‌كند. اين سيستم‌ها كد منبع، رفتار و مجوزهاي برنامه‌ها را تجزيه‌وتحليل مي‌كنند تا هرگونه تهديد را شناسايي كنند. با وجود اين، هم توسعه‌دهندگان برنامه‌‌هاي ناامن به خوبي با راه‌هاي دور زدن آزمون‌‌هاي امنيتي آشنايي دارند و هم در برخي موارد، سياست‌هاي گوگل‌پلي راه‌ را براي سودجويان باز گذاشته است.

برنامه‌هاي مخرب چگونه به گوگل‌پلي نفوذ مي‌كنند؟

برخي از توسعه‌دهندگان با حربه فعال‌سازي كد مخرب پسيني (Delayed Payload Activation) سيستم‌هاي امنيتي گوگل‌پلي را دور مي‌زنند؛ به اين معني كه برنامه‌هاي مخرب ممكن است در ابتدا كاملا سالم و بدون مشكل به نظر برسند و از غربالگري عبور كنند، اما اپراتور پس از نصب و دريافت مجوزهاي خاص از كاربران، بدافزار يا رفتار مخرب را فعال مي‌كند. در برخي موارد نيز برنامه‌هاي مخرب ممكن است بر اساس مولفه‌هاي مختلف، مانند اطلاعات دستگاه، موقعيت مكاني كاربر يا زبان دستگاه، رفتارهاي متفاوتي از خود نشان دهند. با اين روش، بدافزار ممكن است در بررسي اوليه بدون مشكل به نظر برسد و فقط در موارد خاص رفتارهاي مخرب داشته باشد.

برخي از توسعه‌دهندگان هم ممكن است برنامه‌‌هاي سالم منتشر كنند كه در آغاز حاوي بدافزار نيستند، اما پس از گذراندن آزمون‌‌هاي امنيتي، برنامه مزبور را با كد يا عملكرد مخرب به‌روز مي‌كنند. اين روش به آن‌ها اجازه مي‌دهد كه فيلتر اوليه بررسي‌هاي امنيتي را دور بزنند.

علاوه بر راه‌ها و حربه‌هاي ذكرشده كه ممكن است برخي از توسعه‌دهندگان براي نشر بدافزار در گوگل‌پلي به كار گيرند، اهمال‌هايي هم از طرف گوگل‌پلي ديده‌ مي‌شود كه توسعه‌دهندگان از طريق آن مي‌توانند اطلاعات نادرستي درباره محصولات خود ارائه دهند. براي نمونه، بخش ايمني داده (Data safety) را كه در صفحه هر برنامه موجود است و توضيح مي‌دهد كه برنامه چه اطلاعاتي را از كاربران دريافت مي‌كند و با چه كساني به اشتراك مي‌گذارد، خود سازندگان برنامه پر مي‌كنند و گوگل‌پلي كه مسئول توزيع است، در اين فرايند مهم نقشي ايفا نمي‌كند. البته گوگل مي‌گويد كه اگر متوجه شوند كه توسعه‌دهنده‌اي با ارائه اطلاعات نادرست خط‌مشي گوگل را نقض كرده است، توسعه‌دهنده مزبور مشمول «اقدامات اجرايي» مي‌شود.

افزايش تعداد قربانيان برنامه‌‌هاي مخرب در گوگل‌پلي

به تازگي يك بدافزار جديد اندرويدي كشف شده كه در چندين برنامه به كار رفته است. اين برنامه‌‌هاي حاوي بدافزار، در مجموع بيش از ۴۲۰ ميليون بار از گوگل‌پلي بارگذاري شده‌اند. اين بدافزار با استفاده از«اس‌دي‌كي» تبليغاتي توزيع شده است. «اس‌دي‌كي» مجموعه‌اي از ابزارها، كتابخانه‌ها و اسناد نرم‌افزاري است كه براي ساده‌سازي و كمك به توسعه‌دهندگان در ساخت برنامه‌ها ارائه مي‌شود. اين بدافزار مخرب كه در بيش از ۱۰۱ برنامه موجود در گوگل‌پلي يافت شده است، مي‌تواند رمزهاي عبور حساب و داده‌هاي كارت اعتباري افراد را بدزدد و داده‌هاي خصوصي ذخيره‌شده در دستگاه‌هاي كاربران را به يك سرور راه دور ارسال كند.

وب‌سايت «وي‌پي‌ان منتور»، مه ۲۰۲۳ در گزارشي اعلام كرد كه يك پايگاه داده محافظت‌نشده بدون رمزعبور را، حاوي بيش از ۳۶۰ ميليون سوابق مربوط به كاربران فيلترشكن، كشف كرده است. اين اطلاعات مربوط به سرويس SuperVPN موجود در گوگل‌پلي بود كه ادعا مي‌كرد هيچ گزارش فعاليت يا داده‌هاي مربوط به وبسايت‌هاي بازديد‌شده يا آدرس‌هاي آي‌پي كاربران را ثبت نمي‌كند. از آنجايي كه برخي يادداشت‌هاي كشف‌شده پايگاه داده به زبان چيني است، احتمال داده مي‌شود كه سازندگان اين فيلترشكن، چيني باشند. دامنه فعاليت فيلترشكن‌هاي ناامن بسيار وسيع است و معمولا با انتشار نسخه‌هاي مختلف با نام‌هاي متفاوت، شهروندان كشورهاي مختلف را هدف قرار مي‌دهند.

بر اساس گزارش وبسايت وي‌پي‌ان منتور، ايميل‌هاي پشتيباني سوپر وي‌پي‌ان، استورم وي‌پي‌ان، لونا وي‌پي‌ان، راكت وي‌پي‌ان، رادار وي‌پي‌ان و گوست وي‌پي‌ان، مرتبط بودند و در اسناد پايگاه داده، ارجاعاتي به اين ارائه‌دهندگان فيلترشكن يافت شده است. به همين دليل، احتمالا تمام اين سرويس‌ها به نوعي مرتبطند.

نشانه‌هاي يك برنامه ناامن چيست؟

مهم‌ترين گام براي بررسي يك برنامه، شناسايي سازندگان و مطالعه سند حريم خصوصي (privacy policy) آن است. بررسي‌ها نشان مي‌دهد كه بسياري از سرويس‌هاي ناامن و مشكوك، اطلاعات دقيقي از سازندگان و محل فعاليت خود ارائه نمي‌دهند. به همين دليل، نبود اطلاعات كافي درباره سازندگان يك سرويس، نشانه‌اي مهم است. گاهي موارد هم با شناسايي سازندگان، مي‌توان به سرنخ‌هاي مهمي دست يافت. براي نمونه، «پس‌كوچه» در بررسي فيلترشكن biubiuVPN اعلام كرد كه شركت سازنده اين فيلترشكن، زير عنوان «شركت تعمير و نگهداري وسايل نقليه به ثبت رسيده و فعاليت ثانويه آن‌ها هم در زمينه كافي‌شاپ‌ها، رستوران‌ها و كسب درآمد از غذا و نوشيدني مطرح شده است، و اين شركت تنها سه كارمند دارد»

در بسياري از موارد هم جزئيات مهمي در سند حريم خصوصي برنامه‌ها ذكر شده است كه با مطالعه آن، مي‌توان خط‌مشي سرويس و ميزان توجه آن را به حريم خصوصي كاربران دريافت...

همچنين، با بررسي مجوزهاي دسترسي و ردياب‌ها، مي‌توان ديد خوبي به فعاليت يك برنامه نرم‌افزاري پيدا كرد. در صفحه گوگل‌پلي هر برنامه، دسترسي‌هاي آن را مي‌توان مشاهده كرد. سرويسي كه ادعا مي‌كند داده‌هاي شخصي كاربران را جمع آوري نمي‌كند، ولي درخواست دسترسي‌هاي نالازم دارد، در زمره سرويس‌هاي ناامن قرار مي‌گيرد. براي نمونه، سازندگان فيلترشكن فالكون ادعا دارند كه هيچ اطلاعات شخصي از كاربران دريافت و ثبت نمي‌كنند و هيچ‌يك از نرم‌افزارهاي موجود در اين برنامه‌، هيچ‌گاه به اطلاعات مبتني بر موقعيت مكاني دستگاه دسترسي ندارد. اما اين فيلترشكن براي فعال شدن، دسترسي به موقعيت مكاني دقيق و محتواي حافظه دستگاه را درخواست مي‌كند.

اين موضوع در مورد ردياب‌ها هم صادق است. اگر سازندگان يك برنامه ادعا كنند كه داده‌هاي كاربران را ذخيره نمي‌كنند يا نمي‌فروشند، ولي از ردياب‌هاي متنوع استفاده كنند، از آن سرويس بايد اجتناب كرد. براي نمونه، سازندگان Super Fast VPN مي‌گويند كه هيچ گزارش فعاليتي از كاربران ذخيره نمي‌كنند و داده شخصي از آن‌ها دريافت نمي‌كنند، اما اين فيلترشكن از شش ردياب براي دريافت اطلاعات و نمايش تبليغات استفاده مي‌كند.
 

منبع: independentpersian

انتهاي پيام/