اسمارت‌فون من و شما امن نیست!

تنها خبر خوبی که در این زمینه وجود دارد، این است که هدف این حملات مدل‌های خاصی از تلفن‌های همراه است و هکرها این شانس را نخواهند داشت که حملات خود را روی هر مدل گوشی پیاده‌سازی کنند. خبر بسیار بسیار بدی است؟ محققان آلمانی ماه گذشته آسیب‌پذیری‌هایی را شناسایی کردند که می‌تواند روی هر گوشی همراه تأثیرگذار باشد.

درست است به ازای هر نفر یک آسیب‌پذیری وجود دارد

روز چهارشنبه گذشته شرکت امنیتی NowSecure اعلام کرد: « یک رخنه در صفحه‌کلید Swift که به صورت از پیش نصب شده روی دستگاه‌های سامسونگ قرار دارد و می‌تواند 600 میلیون تلفن‌همراه را با مشکل جدی مواجه کند، شناسایی کرده است.» امکان uninstall کردن صفحه‌کلید وجود نداشته و حتی جایگزین کردن آن با یک برنامه صفحه‌کلید دیگر مشکل را برطرف نمی‌کند. محققان دانشگاه ایندیانا برنامه‌های iOS را کشف کرده‌اند که به بدافزاری آلوده هستند که به‌آسانی می‌تواند از سیستم امنیتی اپل عبور کرده و به داخل فروشگاه اپل وارد شود.

تیم تحت سرپرستی اریک بادن چه دستاورهایی داشته‌اند؟

آیا از این‌که از سامسونگ یا آیفون استفاده نمی‌کنید احساس خوشحالی می‌کنید؟ یک تیم از محققان Fraunhofer Institute با همکاری دانشگاه Darmstadt  آلمان مطالعه‌ای پیرامون آسیب‌پذیری بانک‌های‌اطلاعاتی کلاود که مورد استفاده شرکت‌هایی همچون آمازون و شبکه‌های اجتماعی است، انجام داده‌اند. نتیجه تحقیقات آن‌ها نشان می‌دهد 56 میلیون مجموعه داده محافظت نشده روی این بانک‌های اطلاعاتی وجود دارد. اطلاعات حساسی همچون پروندهای پزشکی، گذرواژه‌ها، آدرس‌های ایمیل و داده‌های حساس دیگر که به راحتی می‌توانند مورد دسترسی قرار گرفته یا دستکاری شوند. توسعه‌دهندگان برنامه‌های کاربردی از بانک‌های اطلاعاتی ابری برای ذخیره‌سازی داده‌های کاربران استفاده می‌کنند اما توصیه‌های امنیتی که توسط فراهم‌کننگان خدمات ابری ارائه می‌شوند را نادیده می‌گیرند. همین موضوع باعث می‌شود بیشتر حساب‌های‌کاربری کاربران به‌راحتی شناسایی شده و به سرقت روند. اریک بادن که رهبری این تحقیقات را بر عهده داشته است می‌گوید: « از این رو کاربران باید مواظب باشند چه نوع داده‌هایی را آن‌ها با اطمینان در اختیار این برنامه‌ها قرار می‌دهند.»

تحقیق تیم اریک بادن روی برنامه‌هایی که در گوشی‌های هوشمند قرار دارند را متمرکز بوده است. به‌طوری که این گروه شناسایی کرده‌اند بیشتر برنامه‌هایی که در گوشی‌های هوشمند قرار دارند اطلاعات کاربران را برای عملیاتی همچون همسان‌سازی میان برنامه‌های iOS و آندروید در بانک‌های اطلاعاتی ابری ذخیره‌سازی می‌کنند. فراهم‌کنندگان خدمات ابری روش‌های تصدیق هویت متفاوتی را برای دسترسی به اطلاعات حساس ارائه می‌کنند. اما ضعیف‌ترین شکل تصدیق هویت  توسط توسعه‌دهندگان مورد استفاده قرار می‌گیرد به این معنی که آن‌ها اغلب از گزینه پیش‌فرض که بر مبنای یک رشته از حروف و اعداد که داخل کدهای نرم‌افزارها قرار دارد استفاده می‌کنند که به نام token نامیده می‌شود. بادن در ادامه صحبت‌های خود می‌افزاید: «هکرها، به آسانی توانایی استخراج و تغییر توکن‌ها در برنامه‌ها را دارند، که در نتیجه به آن‌ها امکان دسترسی به داده‌‌های اختصاصی همه کاربران که توسط این برنامه‌ها در سرورها ذخیره می‌شوند را می‌دهد.»

هکرها با استفاده از ابزارهای رایج امروزی به‌آسانی فراتر از خواندن داده‌ها گام برداشته و توانایی استخراج نشانه‌ها (token) را دارند. البته در بیشتر موارد آن‌ها اقدام به دستکاری آن‌ها می‌کنند. هکرها به طور مثال می‌توانند آدرس‌های ایمیل را در بازارهای زیرزمینی به فروش رسانده، فهرست کاربرانی که آدرس آن‌ها در فهرست سیاه قرار دارد را تغییر داده یا کدهای مخرب که باعث انتشار بدافزارها یا ساخت بات‌نت‌ها می‌شود را اضافه کنند.

به‌روزرسانی‌ سامسونگ در راه است

سامسونگ اعلام کرده است در روزهای آینده به‌روزرسانی‌های امنیتی را برای حل مشکل صفحه‌کلید ارائه خواهد کرد.

اپل هشدارهای لازم را برای توسعه‌دهندگان ارسال خواهد کرد

زیگفرید راسترفور که یکی از اعضاء تیم تحقیق کننده بوده است می‌گوید: «تقریبا در هر گروه از برنامه‌هایی که ما پیدا کردیم یک آسیب‌پذیری وجود دارد. »

اریک بادن می‌گوید: « تعداد رکوردهای آلوده به احتمال زیاد به میلیون‌ها خواهد رسید.»

جی توزی کری محقق امنیتی دیگری که به‌طور جداگانه در حال کار است می‌گوید رخنه‌های مشابهی را شناسایی کرده است.

زیگفرید راسترفور می‌گوید هر چهار شرکت به رخنه‌های شناسایی شده واکنش نشان داده‌اند. او می‌گوید: «اپل روز دوشنبه به او گفته است به زودی هشدارهای لازم را برای توسعه‌دهندگان برای بررسی تنظیمات امنیتی قبل از آن‌که برنامه‌های خود را روی فروشگاه اپل آپلود کنند ارسال خواهد کرد.»

دیدگاه‌های دیگر کارشناسان امنیتی چیست؟

دومینگو گوئرا مؤسس کمپانی امنیتی Appthority  می‌گوید: «فراهم کنندگان خدمات ابری و فروشگاه‌های عرضه برنامه‌های کاربردی باید اطمینان حاصل کنند که بهترین شیوه‌ها را پیاده‌سازی کرده‌اند و برنامه‌ها را در خصوص حفره‌های احتمالی به خوبی مورد بررسی قرار داده‌اند.»

توشندرا شارما مؤسس شرکت امنیتی موبایل Wegilant در بمبئی می‌گوید: «میزان تلاش‌ها برای دسترسی به داده‌ها با استفاده از آسیب‌پذیری‌های شناسایی شده در برنامه‌ها به مراتب کمتر از تلاش‌هایی بوده است که برای بهره‌برداری از اکسپلویت Heartbleed انجام گرفت.»

دیگر محققان امنیتی می‌گویند: « برنامه‌های موبایل بیشتر از برنامه‌های دستکاپ یا لپ‌تاپ، داده‌‌های کاربران را در معرض ریسک افشاء شدن قرار می‌دهند. به دلیل این‌که پیاده‌سازی موارد امنیتی روی آن‌ها با دشواری‌های بیشتری همراه است.»

رایان دیسرایلی، مؤسس و رئیس بخش سرویس‌های فریبکارانه در شرکت امنیتی TeleSign می‌گوید: « واقعیت این نیست که این گزارش‌ها وحشتناک هستند، درست است که حملات می‌توانند رخ دهند اما آن‌ها لزوما حملات تصادفی نیستند که به هر شخصی ضربه وارد کنند. این حملات هدف‌دار بوده و افراد مشخصی را نشانه می‌روند که آسیب‌پذیری شناسایی شده آن‌ها را در معرض خطر قرار می‌دهد. بهتر است از خود سؤال کنید آیا شخص مشهوری هستید؟ یک مدیرعامل؟ یا یک پیمانکار طراز اول جهانی که ممکن است در معرض حملات قرار گیرد؟ اگر نه، هکرها احتمالا به چند دلیل واقعا خوب نیاز دارند تا گوشی‌هوشمند شما را مورد حمله قرار دهند. مصرف‌کنندگان باید از خودشان سؤال کنند هکرها به طور ویژه ممکن است چه چیزی را از آن‌ها به خواهند؟ »