ایتنا- بیتفاوت بودن نسبت به مجوزهای برنامههای کاربردی اندروید میتواند امنیت شما را به خطر بیندازد!
توسعهدهندگان برنامههای کاربردی با توجه به عدم آگاهی و بیتوجهی برخی کاربران، مجوزهایی را از آنها میخواهند که راه را برای نفوذ به دستگاههای اندرویدی باز میکند، بنابراین با توجه به تولید انبوه برنامههای کاربردی سیستمعامل اندرویدی، باید درباره خطر احتمالی برنامههایی که تهدیدی را برای کاربران دستگاههای اندرویدی ایجاد میکنند، اطلاعرسانی شود.
به گزارش ایتنا از ایسنا، بسیاری از برنامههای کاربردی با دریافت مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران میکنند. اما از نکات مهم این است که افراد به ندرت مجوزهای درخواستی برنامه کاربردی اندرویدی را قبل از نصب مطالعه میکنند و بیشتر افراد برخوردی عادی و بیتفاوت به این مجوزها دارند.
شاید رد کردن یا اختیار دادن به مجوزهای درخواستی برنامههای کاربردی در حال نصب، سادهترین کاری باشد که یک کاربر میتواند انجام دهد؛ اما نکته مهم این است که تا چه اندازه میتوان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام داراییهای شخص در دست توسعهدهنده برنامه کاربردی را درک کرد.
محدوده مجوزها برای تعامل برنامه کاربردی از اجازه دسترسی به بخش ویژهای از سختافزار دستگاه (بهعنوان مثال فلش دوربین عکاسی) آغاز میشود و تا دسترسی به لیست مخاطبان کاربر ادامه مییابد. کاربر نیز باید با تمام مجوزهای لیست شده قبل از نصب برنامه کاربردی موافقت کند.
اصول مجوزهای برنامههای کاربردی گوگل مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، در آزمایش خود یک میلیون و ۴۱ هزار و ۳۳۶ برنامه کاربردی مورد بررسی قرار گرفتند که از بین آنها ۲۳۵ مورد مجوز انحصاری و خاص داشتند. از مجموع این ۲۳۵ مجوز، تنها ۱۰ مجوز توسط ۲۰ درصد برنامههای کاربردی موجود در Google Play مورد استفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامههای کاربردی درخواست شدهاند. تعداد ۱۰۰۰ برنامه از مجموع یک میلیون و ۴۱ هزار و ۳۳۶ (۰.۰۹درصد) نیز ۱۴۷ مجوز از مجموع ۲۳۵ مجوز را درخواست کردهاند.
مجوزهایی که نسبت به سایر مجوزها شایعتر هستند به دو دسته تقسیم میشوند: مجوزهایی که به برنامه کاربردی اجازه دسترسی به اطلاعات کاربر را میدهند و مجوزهایی که به برنامه کاربردی اجازه میدهند بهصورت مستقیم با دستگاه تعامل داشته باشند. فرض میشود مجوزهایی که جهت دریافت «اطلاعات کاربر» صادر میشوند، هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد و به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سختافزار دستگاه نیز الزاماً بخش مشخصی از سختافزار نخواهد بود.
مجوزهای مربوط به سختافزار دستگاه از ۲۳۵ مجوز انحصاری جمعآوریشده در این تحلیل، ۱۶۵ نوع از آنها به برنامه کاربردی اجازه میدهند تا با اجزای سختافزاری دستگاه تعامل داشته باشند و به برنامه اجازه دسترسی دیگری از جمله اطلاعات کاربر را نخواهد داد.
دو نمونه از عمومیترین مجوزها به برنامه کاربردی اجازه اتصال به اینترنت را میدهند. مجوز «دسترسی کامل به شبکه» (که توسط ۸۳ درصد برنامههای کاربردی مورد استفاده قرار میگیرند) به برنامه کاربردی اجازه میدهد که با هر شبکهای که دستگاه به آن متصل است ارتباط برقرار کند. همچنین مجوز «مشاهده ارتباطات شبکه» (که توسط ۶۹ درصد برنامههای کاربردی مورداستفاده قرار میگیرند) به برنامه کاربردی اجازه میدهد که هر شبکهای که دستگاه به آن دسترسی دارد را ببیند.
اگرچه هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، بهمنظور افزایش قابلیتهای خود ممکن است به هر دو مجوز «اطلاعات کاربر» و «مجوز سختافزار» نیاز داشته باشد. اما این دو مجوز که بهشدت فراگیر هستند اجازه دسترسی مستقیم به اطلاعات کاربر را به برنامه کاربردی نمیدهند.
نمونههایی از کارکردهای این نوع مجوزها کنترل چراغقوه– این مجوز به برنامه کاربردی اجازه میدهد با چراغ(فلش) موجود در گوشی هوشمند و یا تبلت تعامل داشته باشد. عموماً این چراغ مربوط به دوربین عکاسی است اما یک برنامه کاربردی توانایی استفاده از چراغ دوربین با قابلیت روشن و یا خاموش نگاهداشتن ممتد برای ایجاد یک «چراغقوه» را خواهد داشت.
تنظیمات تصاویر زمینه– این مجوز به برنامه کاربردی اجازه میدهد یک تصویر را در پسزمینه صفحهنمایش خانگی دستگاه تنظیم کند (معمولاً در دستگاههای مبتنی بر سیستمعامل اندروید آن را «تصویر زمینه» نیز مینامند).
کنترل لرزاننده– این مجوز به برنامه کاربردی اجازه کنترل لرزاننده که در بیشتر گوشیهای هوشمند وجود دارند را خواهد داد.
این نوع از مجوزها خیلی هم ساده و سطحی نیستند. اگر از این نوع از مجوزها بهدرستی استفاده نشوند (و یا بهصورت مخرب استفاده شوند) یک برنامه کاربردی با یکی از این مجوزها میتواند بهصورت بالقوه برای دستگاه کاربر خرابی و تهدید ایجاد کند؛ اما این نوع از مجوزها بهخودیخود به یک برنامه کاربردی اجازه دسترسی به اطلاعات کاربر را نمیدهند و باید کاربر مهر تائید را به آن برنامه کاربردی داده باشد.
مجوزهای مربوط به اطلاعات کاربر برخی مجوزها به برنامه کاربردی این اجازه را میدهند که به انواع اطلاعات کاربر دسترسی داشته باشد. از مجموع ۲۳۵ مجوز مشخصشده در این آزمون، ۷۰ مجوز بهصورت بالقوه دسترسی به اطلاعات کاربر را فراهم میکنند. نمونههایی از این نوع مجوزها میتواند مجوزهایی باشند که به برنامه کاربردی اجازه میدهند تصاویر موجود در کتابخانه تصاویر کاربر را تغییر و یا حذف کند. نمونه دیگر از این نوع مجوزها نیز میتواند خواندن لیست مخاطبان کاربر باشد.
مجموع مجوزهای درخواستی از یک برنامه کاربردی بهصراحت نمیتواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی میتواند تنها با یک مجوز توانایی دسترسی بهتمامی اطلاعات کاربر را داشته باشد درحالیکه یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سختافزاری دستگاه موردنظر را خواهد داشت!