اپل برای مقابله با سارقین اطلاعات هویتی کاربرانش دست به کار شد

سرویس تجزیه و تحلیل SourceDNA اولین بار موفق به شناسایی و کشف بسته‌های نرم‌افزاری ثالثی گردید که توانایی فهرست کردن برنامه‌های نصب شده و آدرس‌های ایمیل کاربران اپل را دارند. در مجموع 256 برنامه کاربری که بیش از یک میلیون بار دانلود شده‌اند از یک بسته نرم‌افزاری خاص موسوم به Youmi SDK استفاده کرده‌اند. هر چند رقم یک میلیون دانلود در مقایسه با تعداد کاربران اپل آمار بالایی به شمار نمی‌رود، اما گزارش منتشر شده، نشان داد، امنیت فروشگاه اپل آسیب‌پذیر است.

مطلب پیشنهادی: سال رؤیـایی هکرهـا (بزرگ‌ترین هک‌های انجام شده در ۲۰۱۵)

SourceDNA در خصوص آسیب‌پذیری شناسایی شده گفته است: « ما هزاران برنامه کاربردی را در فروشگاه اپل استور شناسایی کردیم که از توابع اختصاصی که اپل پیش‌تر به‌کارگیری آن‌ها را ممنوع اعلام کرده بود برای استخراج اطلاعات هویتی کاربران استفاده می‌کنند. این اولین باری است که ما اطلاع پیدا کردیم، برنامه‌های iOS این توانایی را دارند تا فرآیندهای بازبینی اپل را دور بزنند. اما تحقیقات ما نشان می‌دهد که به احتمال بسیار زیاد چنین اتفاقی در آینده نیز ممکن است رخ دهد.» SourceDNA در خصوص نحوه شناسایی این برنامه‌ها گفته است: «ما این برنامه‌ها را زمانی شناسایی کردیم که در حال افزودن ویژگی جستجوی توابع اختصاصی به Searchlight بودیم. بر همین اساس وظیفه خود دیدیم، قبل از آن‌که این مشکل تبدیل به یک معضل جدی برای کاربران شود و هزینه‌هایی را به آن‌ها تحمیل کند، کاربران را از این موضوع آگاه سازیم.»

فایل‌های باینری iOS شامل دستورالعمل‌های زبان ماشین ARM هستند. دستورالعمل‌هایی که توسط دستگاه‌ها خوانده شده و تجزیه می‌شوند. هر زمان یکی از متدهای objective-c فراخوانی می‌شوند، این فراخوانی از طریق objc-msgsend مورد بررسی قرار می‌گیرد. این متد نام کلاس و نام متد را به عنوان یک رشته دریافت می‌کند. تقریبا در همه موارد، این رشته‌ها با نگاه کردن به مرجع داده‌ها و قبل از تماس با objc-msgsend  قابل تفکیک شدن هستند. SourceDNA  در زمان فراخوانی، مبدأ و مقصد کلاس(متد) را مورد بررسی قرار داد و یک نمودار پاسخ را برای آن ایجاد کرد. این‌کار برای شناسایی متدهایی انجام گرفته است که از این تکنیک استفاده می‌کنند. با این حال در بعضی موارد پارامترهای ارسال شده به objc-MsgSned به صورت ایستا قابل تفکیک شدن نیستند، در چنین مواقعی می‌توان در زمان اجرا با استفاده از روتین‌های ویژه‌ای رشته‌های موردنظر را ایجاد کرد. همچنین، بعضی از ابزارها این توانایی را دارند تا از این قابلیت بهره‌برداری کرده و قبل از آن‌که نام کلاس‌ها و متدها توسط objc-msgSend فراخوانی شوند، آن‌ها را انتقال می‌کنند. به‌طور مثال، قطعه کد زیر برای خواندن AppleID مورد استفاده قرار می‌گیرد.

یک برنامه برای بارگذاری یک کتابخانه از متد dlopen استفاده می‌کند. در ادامه برای دسترسی به یک تابع یا عضو داده‌ای درون کتابخانه از متد dlsym استفاده می‌کند. این‌کار باعث به وجود آمدن یک اتصال پویا به نام فایل و سپس آدرسی به سمبل موردنظر می‌شود. نام سمبل و نام کتابخانه هر دو از نوع رشته‌ای بوده و به این شکل امکان ساخت آن‌ها در زمان اجرا وجود دارد.

SourceDNA برای آزمایش نظریه خود، میلیون‌ها خط درون برنامه‌های کاربردی را مورد بررسی قرار داد. نتیجه بررسی و تحلیل‌های SourceDNA نشان داد، چهار گروه اصلی از توابع اختصاصی وجود دارد که توسط این برنامه‌ها مورد استفاده قرار گرفته‌اند. این توابع توانایی دریافت اطلاعات زیر را دارند:

گروه اول، توانایی فهرست کردن برنامه‌های نصب شده یا نام برنامه‌های پرکاربرد را دارند.

گروه دوم، توانایی دریافت شماره سریال پلتفرم را دارند.

گروه سوم، توانایی فهرست کردن دستگاه‌ها و شماره سریال لوازم جانبی را دارند.

گروه چهارم؛ توانایی دریافت شماره AppeID کاربر ( آدرس ایمیل) را دارند.

SourceDNA در تحقیقات خود موفق به شناسایی یک بسته نرم‌افزاری که دارای یک امضاء باینری است گردید. تحقیقات عمیق‌تر نشان داد که همه این توابع بخشی از یک کدبیس مشترک به نام Youmi هستند که در اصل یک SDK تبلیغاتی به شمار می‌رود. SourceDNA بر این باور است که طراحان Youmi نزدیک به دو سال پیش این بسته نرم‌افزاری را به صورت آزمایشی و پنهانی در قالب برنامه‌ای که برای مانیتور کردن برنامه‌هایی که در پس‌زمینه‌ iOS8 اجرا می‌شدند منتشر ساختند.

جالب آن‌که نگارش 5.3.0 بسته Youmi نزدیک به یک ماه پیش منتشر شده و هنوز هم توانایی جمع‌آوری اطلاعاتی که در بالا به آن‌ها اشاره گردید را دارد. اپل در واکنش به خبر شناسایی این برنامه‌ها بیانه زیر را منتشر ساخته است:

«ما یک گروه از برنامه‌هایی را شناسایی کردیم که از یک بسته تبلیغاتی ثالث که توسط Youmi طراحی شده‌اند استفاده می‌کنند. یک فراهم کننده تبلیغات همراه که از توابع اختصاصی برای دسترسی به اطلاعات شخصی، از قبیل آدرس ایمیل کاربران و مشخصات دستگاه‌های آن‌ها استفاده کرده و این اطلاعات را برای سرورهای شرکت ارسال می‌کند. این اقدام نقض آشکار حریم خصوصی و مفاد امنیتی ما به شمار می‌رود. برنامه‌هایی که از کیت توسعه Youmi استفاده کرده باشند از فروشگاه اپل استور حذف خواهند شد و برنامه‌های جدیدی که از فروشگاه اپل استور مجوز لازم را اخذ کرده‌اند در صورتی که از این کیت توسعه استفاده کرده باشند در فروشگاه اپل استور قرار نخواهند گرفت. ما به‌طور ویژه با توسعه‌دهندگان در حال همکاری هستیم تا نسخه به‌روزرسانی شده‌ای از برنامه‌هایشان را به صورت ایمن در اختیار مصرف کنندگان قرار دهند، به‌طوری که مطابق با دستورالعمل‌های امنیتی اپل استور باشند.»