فناوران - محققان امنیتی در اوایل ماه جاری، بیش از ۱۳۰۰ برنامه آندروییدی کشف کردند که اطلاعات حساس کاربران را حتی پس از رد مجوز دسترسی، جمع آوری می کنند.
تحقیقات نشان می دهد که توسعه دهندگان این اپلیکیشن ها با استفاده از کانال های پنهان و جانبی، به جمع آوری اطلاعات مکان، شناسه های تلفن و آدرس های کاربران خود می پردازند.
یکی از این حملات که توسط تعدادی از محققان امنیتی سایبری کشف شده است، می تواند به برنامه های مخرب اجازه دهد تا صداهای خارج شده از بلندگوهای گوشی های هوشمند را بدون نیاز به مجوز دستگاه، شنود کنند.
این حمله که «Spearphone» نامیده می شود، از یک سنسور حرکتی مبتنی بر سخت افزار با نام شتاب سنج استفاده می کند که در اکثر دستگاه های آندرویید وجود دارد. این سخت افزار می تواند بدون هیچ گونه محدودیتی توسط هر نرم افزاری که روی یک دستگاه نصب شده است (حتی با مجوز صفر) دسترسی پیدا کند.
شتاب سنج، یک سنسور حرکتی است که با اندازه گیری سرعت زمان تغییر، با توجه به مقدار یا جهت، به برنامه های کاربردی، اجازه نظارت بر حرکت دستگاه از جمله شیب، لرزش و چرخش می دهد.
این حمله زمانی رخ می دهد که قربانی، تماس تلفنی یا تماس ویدیویی را در حالت بلندگو قرار می دهد یا در حال گوش دادن به یک فایل رسانه ای است.
از آنجایی که بلندگوی داخلی یک گوشی هوشمند در سطحی یکسان با سنسورهای حرکتی قرار دارد، هنگامی که حالت بلندگو فعال می شود، صداهای بلندی را در بدنه گوشی تولید می کند و به این گونه حملات اجازه می دهد تا به سادگی، برخی از ویژگی های گفتاری کاربر ازجمله جنسیت (با دقت بیش از ۹۰درصد)، هویت (با دقت بیش از ۸۰درصد) و حتی کلمات را شناسایی کنند.
خوشبختانه این حمله نمی تواند برای ضبط صدای کاربران یا محیط اطراف آن مورد استفاده قرار گیرد؛ زیرا به قدری قوی نیست که بتواند بر حسگرهای حرکتی گوشی تأثیر بگذارد.
برای مقابله با چنین حملاتی، پلتفرم آندرویید می تواند سیاست های کنترل دسترسی سختگیرانه ای را اجرا کند که استفاده از این سنسورها را محدود می کند.
وجود یک سیاست کنترل دسترسی کنترل شده برای سنسورها و اجرای مدل مجوز استفاده صریح توسط برنامه ها، اغلب نمی تواند جلوی این حملات را بگیرد؛ زیرا بسیاری از کاربران به مجوزهای خواسته شده توجه جدی نمی کنند.
ساخت داخلی گوشی هوشمند باید به گونه ای باشد که سنسورهای حرکتی، از ارتعاشاتی که به وسیله بلندگوهای گوشی ایجاد می شوند، عایق بندی شوند. یک راه برای اجرای این رویکرد این است که اطراف بلندگوهای ساخته شده را از مواد ارتعاشی ناشی از لرزش هایی که از بلندگوهای گوشی ایجاد می شوند، تخلیه یا خنثی کنند.
به کاربران توصیه می شود که برای محافظت از خود در برابر این حمله، به برنامه هایی که دانلود می کنند و سایت هایی که هنگام بازدید از آن ها نیاز به استفاده از ویژگی های بلندگو دارند، بسیار دقت کنند.
از سوی دیگر مرکز مدیریت راهبردی افتای ریاست جمهوری با اعلام شناسایی دامی جدید برای دارندگان گوشی های آندروییدی، از کاربران خواست که فایل های نامعتبر ویدئویی را دانلود نکنند.
آسیب پذیری بحرانی جدیدی در نسخه های ۷ تا ۹ سیستم عامل آندرویید کشف شده که به مهاجمان اجازه می دهد تا با پخش یک فایل رسانه ای، از راه دور، کد مخرب دلخواه خود را اجرا کنند.
در این روش یک مهاجم می تواند با ایجاد یک فایل ویدئویی خاص و وادار کردن کاربر به پخش آن در برنامه پیش فرض پخش ویدئو در سیستم عامل آندرویید، کد مخربی را برای هر نوع کار هکری و جاسوسی اجرا کند.
این آسیب پذیری در سیستم عامل های Nougat ،Oreo و Pie وجود دارد که بسیاری از دستگاه های آندروییدی را در سراسر جهان تحت تاثیر قرار می دهد.
گوگل این آسیب پذیری را در به روزرسانی های امنیتی آندرویید در ماه جولای ۲۰۱۹ رفع کرده است، اما میلیون ها دستگاه در انتظار انتشار این وصله توسط شرکت های تولیدکننده آنها هستند.
کارشناسان معاونت بررسی مرکز افتا توصیه می کنند تا کاربران برای جلوگیری از سوءاستفاده مهاجمان از این آسیب پذیری، آخرین وصله های امنیتی را اعمال و از دانلود و اجرای فایل ویدئویی از منابع نامعتبر، خودداری کنند.
بر این اساس بهتر است به جای استفاده از فروشگاه های شخص ثالث از فروشگاه های اصلی مثل گوگل پلی برای دانلود و نصب برنامه ها استفاده کنند تا خطری دستگاه آنها را تهدید نکند.