حفره‌ای امنیتی به بزرگی ۹۰۰ میلیون کاربر اندرویدی | امنیت در فضای مجازی | DW | 08.07.2013
  1. Inhalt
  2. Navigation
  3. Weitere Inhalte
  4. Metanavigation
  5. Suche
  6. Choose from 30 Languages

امنیت در فضای مجازی

حفره‌ای امنیتی به بزرگی ۹۰۰ میلیون کاربر اندرویدی

نقطه ضعفی در سیستم عامل موبایل گوگل خبرساز شده که امنیت سایبری تمام دستگاه‌های اندرویدی ۴ سال اخیر را تهدید می‌کند. هکرها با استفاده از این حفره بدافزارها را به‌عنوان اپلیکیشن‌های شناسنامه‌دار به خورد دستگاه می‌دهند.

حفره امنیتی سیستم عامل اندروید که در روزهای اخیر خبرساز شده راه هکرها به دستگاه را باز می‌کند، بدون آن‌که فروشگاه اپلیکیشن (اپ‌استور) کاربر یا خود دستگاه متوجه این موضوع شوند.

اگر این اتفاق بیافتد، بدافزار هر کاری که بخواهد با دستگاه می‌کند؛ دزدی اطلاعات، نظارت و کنترل بر اپ‌ها، ارسال اس‌ام‌اس، برقراری ارتباط تلفنی، کنترل دوربین و میکروفن یا دست‌اندازی به پسووردهای ذخیره‌شده.

نقطه ضعف کجاست؟

بنا بر اعلام "بلولاکس"، شرکتی که این حفره امنیتی را کشف کرده، نقطه ضعف یادشده به تأیید دیجیتال اپلیکیشن‌ها مربوط است. اپلیکیشن‌های اندروید موجود در اپ‌استورها امضای دیجیتال دارند. اندروید از این امضا برای تأیید سلامت یک اپلیکیشن استفاده می‌کند.

اما نقطه ضعفی که بلوباکس از آن پرده برداشته این امکان را به هکرها می‌دهد که محتوی اپلیکیشن‌ها را تغییر دهند، بدون آن‌که به امضای دیجیتال دست بزنند.

بدین ترتیب اپلیکیشن تغییرداده شده برای دستگاه برنامه‌ای عادی و سالم با مهر دیجیتال مورد تأیید به نظر می‌رسد.

گوگل از ماه فوریه در جریان امر قرار گرفته و مشکل را به اطلاع شرکت‌های سخت‌افزاری همکار خود هم رسانده است. این شرکت‌ها ظاهرا روی آپدیت‌هایی کار می‌کنند که قرار است در اسرع وقت منتشر شوند.

مشکل اما این‌جاست که برخی از نسخه‌های اندروید که در سال‌های اخیر از سوی بعضی از تولیدکنندگان روی دستگاه‌ها نصب شده‌اند، مشکلات امنیتی دیگری دارند که کار را دشوار می‌کنند. حتی اخباری منتشر شده است در این مورد که آپدیت امنیتی برای بسیاری از دستگاه‌ها منتشر نخواهد شد.

راه‌های مقابله

بستن کامل این حفره امنیتی کار ساده‌ای نیست و تا کنون هم راه حل جامعی برای آن ارائه نشده است. آپدیت یادشده از قرار معلوم مطمئن‌ترین مسیر است. اما با توجه به شمار دستگاه‌های موجود و تنوع تولیدکنندگان، انتشار آپدیت ممکن است زمان زیادی به طول انجامد.

منابع رسمی دانلود اپلیکیشن امکان به دام‌افتادن کاربران را کاهش می‌دهند

منابع رسمی دانلود اپلیکیشن امکان به دام‌افتادن کاربران را کاهش می‌دهند

در این میان می‌توان چند کار ساده انجام داد. کاربران بهتر است از منابع "غیررسمی" دانلود اپلیکیشن چشم بپوشند و به اپ‌استورهایی مانند "گوگل‌پلی" یا آمازون قناعت کنند. برنامه‌نویسان اپلیکیشن‌های خود را در این اپ‌استورها منتشر می‌کنند و هکرها برای انتشار بدافزارها باید حساب کاربری برنامه‌نویسان را هک کنند؛ امری که البته غیرممکن نیست اما دشواری‌های خاص خود را دارد.

کاربران بهتر است در انتخاب اپلیکیشن‌هایی که با شرایط یا تخفیف‌های غیرعادی به فروش می‌رسند هم حساسیت بیشتری به خرج دهند.

نرم‌افزارهای امنیتی اندروید هم می‌توانند بدافزارهای مخفی در اپلیکیشن‌ها را کشف یا دست‌کم رفتار مشکوک یک اپ را فاش کنند. برای دستیابی به یک نرم‌افزار امنیتی کارآمد لزوما نیازی به پرداخت پول نیست. شرکت‌های پرسابقه در امر امنیت سایبری محصولات رایگان خود را هم در اپ‌استورهای رسمی عرضه کرده‌اند.

تبلیغات