افشای اطلاعات شخصی کاربران اندروید و iOS از طریق برخی از اپلیکیشن‌ها

کمیته رکن چهارم – بررسی ۱٫۳ میلیون اپلیکیشن iOS و اندروید نشان می‌دهد بالغ ‌بر ۱۴ درصد آن‌ها از سرویس ابری با پیکربندی نامناسب استفاده می‌کنند که به افشای اطلاعات شخصی کاربران منتهی می‌شود.

با وجود تلاش واضح اپل برای امن نگه داشتن محیط iOS، سخت است بخواهید روی نحو‌ه‌ی ذخیره‌سازی داده‌های کاربران در اپلیکیشن‌های متفرقه نظارت کنید. تحقیقات اخیر شرکت‌ امنیتی Zimperium نشان می‌دهد هزاران اپلیکیشن‌ iOS و اندروید به ‌دلیل سرویس‌های ابریِ دارای پیکربندی اشتباه، اطلاعات شخصی کاربران را فاش می‌کنند.

بر اساس آنچه ۹to5Mac به ‌نقل از وایرد می‌نویسد، Zimperium بیش از ۱٫۳ میلیون اپلیکیشن iOS و اندروید را تجزیه ‌و ‌تحلیل کرد تا پیکربندی‌های اشتباه فضای ابری را که به افشای اطلاعات شخصی کاربران منتهی می‌شود پیدا کند. از بین تمامی اپلیکیشن‌های بررسی‌شده، ۴۷ هزار اپلیکیشن iOS و ۸۴ هزار اپلیکیشن اندروید به‌ جای داشتن سرویس ابری اختصاصی، مشغول استفاده از سرویس‌های ابری عمومی نظیر خدمات تحت وب آمازون (AWS)، گوگل کلاد (Google Cloud) و مایکروسافت آژور (Microsoft Azure) بودند.

بر اساس تحقیق Zimperium، حداقل ۱۴ درصد از این اپلیکیشن‌ها در حال استفاده از سرویس‌های ابری عمومی‌ هستند که اطلاعات شخصی کاربران را فاش می‌کنند. این اطلاعات شخصی، مواردی مثل رمز عبور و داده‌های سلامتی‌ را شامل می‌شود. Zimperium به‌طور مشخص‌تر می‌گوید پیکربندی اشتباه در برخی از سرویس‌های ابری باعث شده است هکرها به داده‌های شخصی دسترسی پیدا کنند و حتی نسخه‌ای از آن‌ها را برای خود بردارند.

شریدهار میتال، مدیرعامل Zimperium، توضیح می‌دهد که اکثر این توسعه‌دهندگان به‌ شکل مناسب سرویس ابری مورد استفاده را پیکربندی نکرده‌اند تا جلوی افشای اطلاعات شخصی کاربران را بگیرند. او می‌گوید گروه‌های هکر اسکن‌ گسترده‌ای در سطح وب انجام می‌دهند تا پیکربندی‌های اشتباه را در خدمات تحت وب پیدا کنند و اطلاعات حساس را بیرون بکشند.

مدیرعامل Zimperium می‌گوید تحقیق انجام‌شده نشان می‌دهد افزون‌ بر اطلاعات حساس کاربران، داده‌های دیگری مثل نام کاربری و رمز عبور دسترسی به شبکه، فایل‌های پیکربندی سیستم و کلیدهای معماری سرور نیز در دسترس هکرها بوده‌اند. او مدعی است هکرها از لحاظ تئوری می‌توانند از این داده‌ها برای نفوذ عمیق‌تر به سیستم‌های شرکتی بهره بگیرند.

شرکت‌‌های بزرگی مثل آمازون دارای ابزارهای مخصوصی هستند تا انواع پیکربندی‌ اشتباه را در سرویس‌هایشان شناسایی رفع کنند؛ اما آن‌طور که کارشناس ۹to5Mac می‌نویسد، وظیفه‌ی اصلی برای جلوگیری از افشای اطلاعات کاربران در پی اشتباه بودن پیکربندی سرویس‌های ابری، بر عهده‌ی توسعه‌دهنده‌ی اپلیکیشن قرار دارد. متأسفانه اکثر کاربران نمی‌دانند اپلیکیشن‌هایی که به آن‌ها اعتماد کامل دارند، ممکن است اطلاعات شخصی‌ را در فضای وب فاش کنند.

Zimperium با توسعه‌دهندگان شماری از اپلیکیشن‌های بررسی‌شده ارتباط برقرار کرده است؛ اما اکثر این توسعه‌دهندگان به درخواست Zimperium برای رفع مشکل امنیتی اپلیکیشن‌ خود پاسخ نداده‌اند. محققان Zimperium می‌گویند مشکل پیکربندی اشتباه سرویس‌های ابری نه‌تنها اپلیکیشن‌های توسعه‌دهندگان کوچک را متأثر می‌کند بلکه اپلیکیشن‌های شرکت‌های بزرگ را نیز در بر می‌گیرد.

Zimperium می‌گوید یکی از اپلیکیشن‌‌هایی که اطلاعات کاربران را فاش می‌کند، والت موبایلی است که توسط یکی از شرکت‌های حاضر در فهرست فورچن ۵۰۰ توسعه داده شده است. این اپلیکیشن بخشی از اطلاعات نشست‌های کاربر و داده‌های مالی را فاش می‌کند. دیگری، اپلیکیشن حمل‌و‌نقل یک شهر بزرگ است که داده‌های پرداختی را فاش می‌کند. محققان Zimperium تعدادی اپلیکیشن‌ پزشکی را پیدا کرده‌اند که در حال افشای نتایج آزمایش مردم و حتی تصویر پروفایل آن‌ها هستند. محققان امیدوار هستند رسانه‌ای شدن این موضوع به رفع باگ امنیتی اپلیکیشن‌ها کمک کند.

منبع : زومیت