بیش از هزار اپلیکیشن اندرویدی بعد از قطع دسترسی، اطلاعات کاربر را جمعآوری میکنند
بیش از هزار اپلیکیشن اندرویدی شناسایی شدهاند که حتی بعد از قطع دسترسی آنها به اطلاعاتی مثل موقعیت تلفن همراه، باز هم اقدام به جمعآوری اطلاعات میکنند.
بررسیهای کمیتهی تجارت فدرال آمریکا نشان میدهد بیشتر از هزار اپلیکیشن اندرویدی وجود دارد که باوجود قطع شدن دسترسی آنها به برخی اطلاعات از طرف کاربر، همچنان و بدون اطلاع کاربر اقدام به جمعآوری این اطلاعات میکنند.
نتایج این تحقیقات نشان میدهد حفظ حریم خصوصی در حال حاضر کار بسیار دشواری خواهد بود؛ بهخصوص اگر کاربر وابستگی زیادی به گوشی تلفن همراه و اپلیکیشنهای روی آن داشته باشد. شرکتهای فناوری اطلاعات شخصی میلیونها کاربر، ازجمله محلهایی که کاربر در آنها حضور داشته، افرادی که با آنها در ارتباط بوده و نوع علاقهمندیهای او را جمعآوری میکنند.
نهادهای قانونگذاری دچار سردرگمی شدهاند زیرا با توجه به قوانین مرتبط با حریم خصوصی، کاربر باید بتواند میزان اطلاعاتی که در اختیار یک اپلیکیشن قرار میدهد را مدیریت کند. اپل و گوگل اخیرا امکانات جدیدی معرفی کردهاند که به افزایش امنیت حریم خصوصی افراد کمک میکنند اما به نظر میرسد اپلیکیشنها راههای دور زدن این دیوارهای محافظتی را پیدا کردهاند.
نتایج تحقیقات مؤسسهی بینالمللی علوم کامپیوتر نشان میدهد تعداد این اپلیکیشنها ۱۳۲۵ عدد است. سرج اگلمن، مدیر بخش امنیت کاربردی و تحقیقات حریم خصوصی این مؤسسه ماه ژوئن گذشته نتایج این تحقیقات را ارائه کرد. او در اینباره گفت:
اساسا کاربران ابزارهای بسیار محدودی برای کنترل منطقی حریم خصوصی خود و تصمیمگیری دربارهی آن در اختیار دارند. اگر توسعهدهندگان اپلیکیشنها بتوانند سیستم را دور بزنند، درخواست دسترسی که همیشه از کاربران درخواست میکنند، عملا بیمعنی میشود.
اگلمن اعلام کرده بود محققان نتایج بررسیهای خود را سپتامبر گذشته در اختیار گوگل و همینطور کمیتهی تجارت فدرال آمریکا قرار دادهاند. گوگل در پاسخ به این ابراز نگرانیها اعلام کرد که مشکل یادشده را در اندروید Q که انتظار میرود سال جاری میلادی منتشر شود، برطرف خواهد کرد.
گوگل اعلام کرد برای حل این مشکل، اطلاعات مربوطبه موقعیت را که در عکسها قرار دارد، از دسترس اپلیکیشنها خارج میکند و همهی اپلیکیشنهایی که به وایفای دسترسی دارند را مجبور میکند تا برای دسترسی به اطلاعات مربوطبه موقعیت، از کاربر درخواست مجوز کنند.
تحقیقات حاضر روی بیشتر از ۸۸ هزار اپلیکیشن موجود در گوگل پلیاستور انجام شده است. در این تحقیقات نحوهی انتقال اطلاعات به اپلیکیشنهای موردبحث بعد از قطع شدن دسترسی آنها توسط کاربر بررسی شده است. تعداد ۱۳۲۵ اپلیکیشنی که قوانین حریم خصوصی را نقض کردهاند، از راهحلهایی استفاده میکنند که به آنها کمک میکند کدهای مخرب خود را مخفی کنند. این کدها به اپلیکیشنها اجازه میدهد اطلاعات شخصی منابعی مثل ارتباطات وایفای و ابردادههای انبارشده در عکسها را استخراج کنند.
نتایج تحقیقات نشان میدهد اپلیکیشن Shutterfly که یک اپلیکیشن ویرایش و چاپ عکس است، مختصات GPS را از روی عکسها استخراج میکرده و آنها را به سرورهای خودش منتقل میکرده است. این روند حتی زمانیکه کاربر دسترسی این اپلیکیشن به اطلاعات مربوطبه موقعیت را قطع میکره هم ادامه داشته است.
یکی از سخنگویان Shutterfly اعلام کرده برخلاف نتایج تحقیقات، این اپلیکیشن فقط در زمانی اطلاعات را استخراج میکرده که کاربر به آن اجازه دسترسی به اطلاعات مطرحشده را میداده است.
Shutterfly در بیانیهای اعلام کرد:
Shutterfly هم مانند بسیاری از سرویسهای عکس، از این اطلاعات برای افزایش رضایتمندی کاربران با خدماتی مثل دستهبندی و شخصیسازی محصولات پیشنهادی استفاده میکرده است. تمام این فرایند مطابق با سیاستهای مرتبط با حریم خصوصی Shutterfly و همینطور موافقت توسعهدهندهی اندروید بوده است.
بعضی از اپلیکیشنهایی که در این تحقیقات بررسی شدهاند، برای استخراج اطلاعات شخصی کاربر به اپلیکیشنهای دیگر تکیه داشتهاند. این اپلیکیشنها با بهرهگیری از اپلیکیشنهای دیگر، اطلاعاتی مثل شناسههای تلفن همراه نظیر شمارهی IMEI را استخراج کردهاند. همچنین اپلیکیشنهای یادشده، اطلاعات محافظتنشدهی روی کارت حافظهی جانبی دستگاه را بررسی کردهاند و به اطلاعاتی که اجازهی دسترسی به آنها نداشتهاند، دست پیدا کردهاند. در واقع اگر کاربر به اپلیکیشنی اجازه میداد به اطلاعات شخصی او دسترسی داشته باشد، این اپلیکیشنهای جاسوس هم به همان اطلاعات دسترسی پیدا میکردند.
هرچند فقط ۱۳ اپلیکیشن از مجموع اپلیکیشنهای بررسیشده در این تحقیقات چنین ترفندی را انجام میدادند اما همان ۱۳ اپلیکیشن بیشتر از ۱۷ میلیون بار نصب شدهاند. محققان میگویند اپلیکیشن Hong Kong Disneyland park محصول شرکت Baidu هم در میان این اپلیکیشنها جای میگیرد.
محققان میگویند تعداد ۱۵۳ اپلیکیشن از مجموع اپلیکیشنهایی که تحت بررسی قرار گرفتهاند، قابلیت استفاده از ترفند یادشده را داشتهاند. اپلیکیشنهای Health و برنامههای مرورگر اینترنت سامسونگ که روی بیشتر از ۵۰۰ میلیون تلفن همراه نصب شدهاند هم جزو این اپلیکیشنها هستند.
سایر نرمافزارهای مخرب شناساییشده در این تحقیقات با اتصال به وایفای و پیدا کردن آدرس مک به اطلاعات کاربران دسترسی پیدا کردهاند. این اپلیکیشنها، اپلیکیشنهایی هستند که بهعنوان کنترلکنندهی هوشمند روتر استفاده میشوند و برای کار کردن به اطلاعات مربوطبه موقعیت کاربر نیازی ندارند.
اگلمن گفت در ماه اوت و در جریان سخنرانی در کنفرانس امنیتی Usenix، جزئیات بیشتر و فهرست کامل این هزار و ۳۲۵ اپلیکیشن را ارائه خواهد کرد.