پایگاه دانش آلما / سیمانتک افشای آسیب‌پذیری‌های اپلیکیشن‌های موبایل، چگونه اپلیکیشن‌های محبوب داده‌های حساس را فاش می‌کنند؟

افشای آسیب‌پذیری‌های اپلیکیشن‌های موبایل، چگونه اپلیکیشن‌های محبوب داده‌های حساس را فاش می‌کنند؟

افشای آسیب‌پذیری‌های اپلیکیشن‌های موبایل، چگونه اپلیکیشن‌های محبوب داده‌های حساس را فاش می‌کنند؟

 

بررسی آسیب‌پذیری‌ ۸ اپلیکیشن اندروید و iOS که از محافظت از داده‌های کاربران ناتوان هستند

در دنیای امروز که به‌طور فزاینده‌ای دیجیتالی شده است، امنیت موبایل اهمیت ویژه‌ای پیدا کرده است. میلیون‌ها اپلیکیشن در فروشگاه‌های اپ استور و گوگل پلی وجود دارند و کاربران به توسعه‌دهندگان این اپلیکیشن‌ها اعتماد دارند تا از اطلاعات شخصی آن‌ها محافظت کنند. اما متأسفانه این اعتماد گاهی اوقات به اشتباه گذاشته می‌شود.

 

یکی از مهم‌ترین اقداماتی که باید برای جلوگیری از دسترسی غیرمجاز به اطلاعات کاربران انجام شود، استفاده از رمزنگاری است. به‌خصوص زمانی که اطلاعات بین دستگاه و سرور منتقل می‌شود. اگر این فرآیند توسط توسعه‌دهندگان اپلیکیشن به درستی پیاده‌سازی نشود، کاربران در معرض انواع حملات احتمالی قرار می‌گیرند، از جمله سرقت داده‌ها، شنود اطلاعات و حملات مرد میانی (MitM).

 

طبق تحقیقات سیمانتک، بسیاری از اپلیکیشن‌ها اطلاعات حساس کاربران را به‌صورت رمزنگاری‌نشده از طریق پروتکل HTTP ارسال می‌کنند و این اطلاعات را در معرض دید هر کسی که ترافیک شبکه را نظارت می‌کند، قرار می‌دهند. در این مقاله، به بررسی هشت اپلیکیشن پرداخته‌ایم که اطلاعات حساس کاربران، از جمله اطلاعات دستگاه، مکان جغرافیایی و اعتبارنامه‌های ورود (نام کاربری و رمز عبور) را بدون استفاده از رمزنگاری مناسب ارسال می‌کنند.

 

تحلیل اپلیکیشن‌ها

۱. Klara Weather (اندروید)

تعداد دانلود: بیش از ۱ میلیون دانلود در گوگل پلی

مشکل: ارسال مکان جغرافیایی بدون رمزنگاری

جزئیات: تحلیل ترافیک شبکه و بررسی کد نشان می‌دهد که اطلاعات مکان جغرافیایی کاربر از طریق پروتکل HTTP و بدون رمزنگاری ارسال می‌شود.

۲. Military Dating App - MD Date (iOS)

تعداد رتبه‌بندی: ۱۷۷۰۰ در اپ استور اپل

مشکل: ارسال اعتبارنامه‌های کاربری (نام کاربری و رمز عبور) بدون رمزنگاری

جزئیات: تحلیل ترافیک شبکه و بررسی کد نشان می‌دهد که نام کاربری و رمز عبور کاربران از طریق HTTP و بدون رمزنگاری ارسال می‌شوند.

۳. Sina Finance (اندروید)

تعداد دانلود: بیش از ۱۰۰ هزار دانلود در گوگل پلی

مشکل: ارسال اطلاعات دستگاه بدون رمزنگاری

جزئیات: بررسی ترافیک شبکه و کد اپلیکیشن نشان می‌دهد که اطلاعات دستگاه، از جمله ID دستگاه، نسخه SDK و IMEI، به‌صورت رمزنگاری‌نشده از طریق HTTP ارسال می‌شود.

۴. CP Plus Intelli Serve (اندروید)

تعداد دانلود: بیش از ۵۰ هزار دانلود در گوگل پلی

مشکل: ارسال نام کاربری و رمز عبور بدون رمزنگاری

جزئیات: تحلیل ترافیک شبکه و بررسی کد نشان می‌دهد که اعتبارنامه‌های کاربری (نام کاربری و رمز عبور) بدون استفاده از رمزنگاری مناسب ارسال می‌شوند.

۵. Latvijas Pasts (اندروید)

تعداد دانلود: بیش از ۱۰۰ هزار دانلود در گوگل پلی

مشکل: ارسال مکان جغرافیایی بدون رمزنگاری

جزئیات: بررسی ترافیک شبکه و کد اپلیکیشن نشان می‌دهد که مکان جغرافیایی کاربران از طریق HTTP و بدون رمزنگاری ارسال می‌شود.

۶. HaloVPN: Fast Secure VPN Proxy (iOS)

تعداد رتبه‌بندی: ۱۳۳۰۰ در اپ استور اپل

مشکل: ارسال اطلاعات دستگاه بدون رمزنگاری

جزئیات: تحلیل ترافیک شبکه و بررسی کد نشان می‌دهد که اطلاعات دستگاه، از جمله ID دستگاه، زبان، مدل، نام، منطقه زمانی و اطلاعات سیم‌کارت به‌صورت رمزنگاری‌نشده ارسال می‌شود.

۷. i-Boating: Marine Charts & GPS (iOS)

تعداد رتبه‌بندی: ۱۱۶۰۰ در اپ استور اپل

مشکل: ارسال اطلاعات دستگاه بدون رمزنگاری

جزئیات: تحلیل ترافیک شبکه و کد نشان می‌دهد که اطلاعات دستگاه، از جمله نوع دستگاه و نسخه سیستم‌عامل، به‌صورت رمزنگاری‌نشده ارسال می‌شود.

۸. Texas Storm Chasers (iOS)

تعداد رتبه‌بندی: ۹۲۰۰ در اپ استور اپل

مشکل: ارسال مکان جغرافیایی بدون رمزنگاری

جزئیات: تحلیل ترافیک شبکه و بررسی کد نشان می‌دهد که اطلاعات مکان جغرافیایی کاربران از طریق HTTP و بدون رمزنگاری ارسال می‌شود.

یک مشکل مستمر

توسعه‌دهندگان اپلیکیشن‌ها مسئولیت محافظت از کاربران خود را دارند، اما همان‌طور که در مثال‌های بالا دیده می‌شود، بسیاری از توسعه‌دهندگان در محافظت از داده‌های حساس کاربران خود کوتاهی می‌کنند. چه عمدی و چه به دلیل سهل‌انگاری، انتقال اطلاعات حساس به‌صورت رمزنگاری‌نشده نه تنها اعتماد کاربران را به خطر می‌اندازد، بلکه آن‌ها را در معرض خطرات جدی مانند سرقت هویت، دسترسی غیرمجاز و نشت داده‌ها قرار می‌دهد.

 

این مشکل جدیدی نیست و متأسفانه برای مدت‌هاست که در بین اپلیکیشن‌های موبایل مشاهده می‌شود. امنیت موبایل باید یکی از اولویت‌های اصلی توسعه‌دهندگان باشد. توسعه‌دهندگان می‌توانند با پیروی از بهترین روش‌های امنیتی، از وقوع مشکلات امنیتی مشابه جلوگیری کنند. این روش‌ها شامل موارد زیر است:

 

استفاده از پروتکل HTTPS برای تمام ترافیک شبکه:

توسعه‌دهندگان باید اطمینان حاصل کنند که تمام اطلاعاتی که بین اپلیکیشن و سرور منتقل می‌شود، با استفاده از HTTPS رمزنگاری شده است.

 

رمزنگاری داده‌های حساس:

استفاده از روش‌های رمزنگاری قوی برای محافظت از اطلاعات حساس کاربران، مانند اعتبارنامه‌های ورود و داده‌های مکان، هم در زمان انتقال و هم در هنگام ذخیره‌سازی.

 

بازبینی‌های امنیتی منظم:

توسعه‌دهندگان باید به‌صورت دوره‌ای کدهای خود را بازبینی کنند و آزمایش‌های امنیتی انجام دهند تا آسیب‌پذیری‌های احتمالی شناسایی و رفع شوند.

 

به‌عنوان کاربران، ما نیز باید همیشه هوشیار باشیم و از توسعه‌دهندگان اپلیکیشن‌ها تقاضای استانداردهای امنیتی بالاتری داشته باشیم. با اطلاع از شیوه‌های امنیتی اپلیکیشن‌هایی که استفاده می‌کنیم، می‌توانیم تصمیمات آگاهانه بگیریم و از اطلاعات شخصی خود محافظت کنیم.

 

اقدامات حفاظتی و کاهش آسیب‌پذیری‌ها

برای به‌روزرسانی‌های محافظتی اخیر، می‌توانید به بولتن شرکت آلما شبکه نماینده سیمانتک Symantec مراجعه کنید. سیمانتک توصیه می‌کند که کاربران برای محافظت از دستگاه‌ها و اطلاعات خود، از بهترین روش‌های زیر پیروی کنند:

یک اپلیکیشن امنیتی مناسب مانند Symantec Endpoint Protection نصب کنید تا از دستگاه و داده‌های خود محافظت کنید.

از دانلود اپلیکیشن‌ها از سایت‌های ناآشنا خودداری کنید و فقط از منابع معتبر اقدام به نصب اپلیکیشن‌ها کنید.

نرم‌افزارهای خود را به‌روز نگه دارید.

توجه بیشتری به مجوزهایی که اپلیکیشن‌ها درخواست می‌کنند داشته باشید.

به‌صورت مرتب از داده‌های مهم خود نسخه پشتیبان تهیه کنید.

سیمانتک و دیگر سازمان‌های امنیتی با آگاهی‌بخشی و ارائه راهکارهای موثر، به محافظت از کاربران در برابر تهدیدات امنیتی موبایل کمک می‌کنند. با رعایت این نکات و انتخاب آگاهانه‌تر اپلیکیشن‌ها، می‌توانیم از امنیت اطلاعات خود اطمینان حاصل کنیم و از ریسک‌های ناشی از آسیب‌پذیری‌های اپلیکیشن‌ها در امان بمانیم.

بازخوردها
    مطالب مرتبط