نوشته‌ها

طبق آخرین تحقیقات انجام شده در زمینه امنیت برنامه‌های موبایل، هزاران برنامه اندروید حتی زمانی که دسترسی مکان (location) آن‌ها را رد کرده باشید، قادر به ردیابی شما خواهند بود. این برنامه‌ها، با دسترسی به شناسه منحصر به فرد گوشی شما و بسیاری از داده‌های اشتراکی، راه‌هایی پبدا کرده‌اند تا با دور زدن گوگل به موقعیت مکانی شما دسترسی پیدا کنند.

حتی اگر به طور مستقیم برنامه مورد نظر را از دسترسی به شناسه گوشی خود منع کرده باشید،‌ این برنامه‌ها می‌توانند با دسترسی به فضای اشتراکی مورد استفاده بوسیله دیگر برنامه‌ها، به این اطلاعات دسترسی پیدا کنند. این اپلیکیشن‌ها لزوما با یکدیگر مرتبط نیستند و تنها کافی است از یک کیت توسعه نرم افزار (SDK) برای نوشتن اپلیکیشن اندرویدی خود استفاده کرده باشند. درست مانند زمانی که کودکی توسط یکی از والدین از خوردن بستی منع شده و به سراغ دیگری می‌رود.

به عنوان مثال، برنامه‌های سامسونگ و والت دیزنی، که هر کدام بیشتر از ۱۰۰ میلیون مرتبه دانلود شده‌اند، از SDK ابرشرکت چینی بایدو استفاده می‌کنند. این برنامه‌ها، و البته خود شرکت بایدو، می‌توانند به این اطلاعات اشتراکی دسترسی داشته و آن‌ها را به سرورهای خود بفرستند.

جدای از این آسیب‌پذیری، رخنه‌های امنیتی دیگری نیز کشف شده‌اند که سوءاستفاده اپلیکیشن‌های اندرویدی از اطلاعات SSID، MAC address و دیگر پارامترهای شبکه بیسیم را مهیا می‌کنند. همچنین برنامه‌هایی نیز کشف شده‌اند که بدون اجازه کاربر، موقعیت مکانی افراد را از متاتگ‌های عکس‌ها استخراج کرده و به سرورهای خود می‌فرستند.

این محققان که نتایج تحقیق خود را سال گذشته در اختیار گوگل قرار داده بودند، امیدوارند تا بسیاری از این آسیب‌پذیری و رخنه‌های امنیتی در نسخه جدید اندروید، یعنی آندروید کیو (Android Q) رفع شود. اما طبق روال گذشته می‌دانیم که اکثر گوشی‌های اندرویدی این آپدیت را دریافت نخواهند کرد.

تنها یک روز پس از ابطال گواهینامه اندروید هواوی توسط گوگل، دولت آمریکا با اعطای مجوز ۳ ماهه به هواوی این امکان را برای شرکت هواوی فراهم کرده تا بتواند تا سه ماه آینده خدمات گوشی‌های اندروید خود را ارائه کرده و آپدیت‌ها و بروزرسانی‌های لازم را برای کاربران خود منتشر کند.

هفته گذشته دانلد ترامپ با اعلام وضعیت اضطراری این اختیار را برای وزارت خود فراهم کرد تا با تحریم هواوی، ضربه سختی به این شرکت چینی وارد کند. هواوی سال ۲۰۱۹ را با رشد دو رقمی آغاز کرده بود و پیشپینی می‌شد تا پایان سال ۲۰۱۹ جای سامسونگ را به عنوان بزرگ‌ترین تولیدکننده گوشی همراه در جهان بگیرد. اما حالا نه تنها در سال ۲۰۱۹ یا ۲۰۲۰ بلکه در هیچ تاریخ دیگری هم این اتفاق نخواهد افتاد.

گرچه هواوی می‌تواند از پروژه اوپن سورس اندروید روی گوشی‌های همراه خود استفاده کند اما بدون سرویس گوگل روی این نسخه از اندروید، بسیاری از امکانات و برنامه‌های اندرویدی مانند گوگل مپ و یوتوب قابلیت اجرا روی گوشی‌های هواوی را نخواهند داشت.

در پی محدودیت‌های ایجاد شده از طرف دولت آمریکا، گوگل با باطل کردن مجوز اندروید هواوی، ضربه سختی به این شرکت چینی وارد کرد. ظاهرا علت لغو گواهینامه اندروید هواوی، ایجاد محدودیت از طرف وزارت بازرگانی ایالات متحده بوده است؛ طبق این محدودیت، این شرکت خارجی تنها با تایید وزارت بازرگانی می‌تواند از فناوری‌های شرکت‌های آمریکایی استفاده کند.

طبق اعلامیه سخنگوی شرکت گوگل، گوگل پلی (بازار اپلیکیشن اندروید) و گوگل پروتکت (نرم افزار امنیتی اندروید) روی گوشی‌های فعلی غیرفعال نمی‌شوند، اما آپدیت‌ها و بروزرسانی‌های امنیتی گوگل هنوز در هاله‌ای از ابهام هستند. هواوی از این به بعد مجبور است از پروژه متن باز اندروید (AOSP) استفاده کند، که منجر به غیرفعال شدن بسیاری از سرویس‌های گوگل خواهد شد. این خدمات، خارج از کشور چین بسیار پرطرفدار بوده و کاربران غیرچینی به راحتی از آن‌ها صرف نظر نمی‌کنند.

از نسخه بعدی اندروید، گوگل بعضی از پچ‌ها و آپدیت‌های امنیتی اندروید را از طریق مارکت خود، یعنی گوگل پلی استور منتشر خواهد کرد. در این صورت، به روزرسانی های امنیتی بسیار سریع‌تر از حالت کنونی برای کاربران ارسال می‌شود. در حال حاضر، از زمان تولید پچ‌های امنیتی توسط گوگل تا انتشار آن توسط تولیدکنندگان گوشی همراه اندروید، مانند سونی و سامسونگ، پروسه‌ای طولانی مدت وجود دارد. گرچه طبق این گزارش، این پروسه برای همه‌ی آپدیت‌ها از بین نمی‌رود، اما روند انتشار بسیاری از آپدیت‌های امنیتی را کوتاه می‌کند.

این قابلیت جدید، پروژه مین‌لاین (Project Mainline) نام داشته و بخشی از اندروید Q (دهمین نسخه از سیستم عامل اندروید) خواهد بود. این ویژگی به گوگل اجازه می‌دهد تا برخی از بروزرسانی‌های امنیتی اندروید را از طریق پلی استور، که تقریبا روی هر گوشی اندرویدی خارج از کشور چین وجود دارد، منتشر کند. البته این سیستمِ بروزرسانی قادر به آپدیت کردن کل سیستم نیست و فقط محدود به ۱۲ ماژول است. گرچه ممکن است این راهکار برای آپدیت کردن گوشی‌های اندرویدی، جزئی به نظر برسد اما گوگل را قادر می‌سازد تا باگ‌های کوچک و باگ‌های جدی بالقوه را در اسرع وقت برطرف کند.

پروژه «مین لاین» مدیون پروژه تربل (Project Treble) است که دو سال پیش همراه با اندروید اوریو معرفی شد. این پروژه با جداسازی اجزای لایه‌های پایین سیستم، وابستگی آن‌ها به یکدیگر را کمتر کرد، که در نهایت منجر به افزایش سرعت در انتشار آپدیت‌های اندروید شد. اندروید Q و ویژگی‌های جدید آن، که در کنفرانس توسعه‌دهندگان گوگل رونمایی شد، فعلا در ورژن بتا است و نسخه اصلی آن پاییز امسال منتشر می‌شود.

طبق گزارش اخیر گروه بین‌المللی حریم خصوصی (Privacy International – PI) نرم‌افزارهای اندرویدی بعضی از شرکت‌های مهم، مانند دولینگو و یلپ (Yelp) هنوز اطلاعات گوشی‌های کاربران را به صورت مستقیم به فیسبوک ارسال می‌کنند. ارسال این اطلاعات، حتی اگر حساب کاربری فیسبوک نداشته باشید یا وارد حساب کاربری خود نشده باشید نیز انجام می‌شود. به غیر از اپلیکیشن‌های مذکور، دو برنامه اسلامی، یک برنامه مسیحی و یک برنامه جستجوی مشاغل به نام Indeed نیز اطلاعات مشابهی را به فیسبوک ارسال می‌کنند. این اطلاعات می‌تواند برای شناسایی افراد هنگام گشت و گذار در این شبکه اجتماعی مورد استفاده قرار گیرد.

هنوز مشخص نیست که این داده‌ها دقیقا شامل چه نوع اطلاعاتی هستند اما احتمالا شامل شناسه‌های اختصاصی باشد که به فیسبوک در رهگیری افراد در سرویس‌های مختلف خود کمک خواهد کرد.

طبق گزارش اولیه این گروه که در دسامبر سال گذشته منتشر شد، فیسبوک به طور معمول کابران خود و حتی کسانی که حساب کاربری فیسبوک ندارند را با ابزارهای تجاری خود (Facebook Business Tools) رهگیری می‌کند. این عمل توسط توسعه‌دهندگانِ برنامه‌های موبایل و بوسیله کیت توسعه نرم‌افزار فیسبوک (SDK) صورت می‌گیرد. بعد از انتشار این گزارش، بسیاری از برنامه‌های اندورید مانند اسپاتیفای و اکثر برنامه‌های iOS ارسال اطلاعات را متوقف کردند. در هر صورت، برنامه‌های دولینگو، یلپ و بسیاری برنامه‌های دیگر که تعداد دقیق آن‌ها مشخص نیست، هنوز ارسال اطلاعات به فیسبوک را متوقف نکرده‌اند.

Haven (هِیوِن)، نام برنامه اندرویدی جدیدی است که توسط ادوارد اسنودن توسعه داده شده و دیروز در گیت‌هاب منتشر شده است. این برنامه که روی هر گوشی اندرویدی قابل نصب است، گوشی موبایلتان را به یک حسگر محیطی تبدیل می‌کند که می‌تواند تغییرات محیطی مثل نور، حرکت و صدا را تشخیص داده و از طریق برنامه امن سیگنال به اطلاع شما برساند. گرچه این برنامه هنوز برای iOS منتشر نشده است اما کاربران آیفون می‌توانند با خرید یک گوشی اندرویدی ارزان قیمت، از امکانات این برنامه استفاده کرده و اطلاعات را به گوشی آیفون خود بفرستند. همچنین این برنامه می‌تواند در صورت بروز حادثه، صدای ضبط شده از محیط یا عکس‌های گرفته شده را به گوشی اصلی شما بفرستد. البته افرادی که به هر دلیلی ممکن است در خطر باشند، می‌توانند این برنامه را روی گوشی اصلی خود نصب کرده و دوست یا آشنای خود را بعنوان امین خود انتخاب کنند تا اطلاعات برای او ارسال شود. با توجه به متن‌باز بودن برنامه Haven و تنوع حسگرهای موجود در گوشی‌های موبایل، اسنودن امیدوار است تا این برنامه برای کاربردهای بیشتری توسعه پیدا کند.

این برنامه علاوه بر حسگرهای نور، صدا و حرکت، می‌توانند اتصال یا قطع اتصال گوشی از شارژر را نیز تشخیص دهد. همچنین امکان ارسال اطلاعات از طریق پیامک و دسترسی به اطلاعات از طریق Tor نیز وجود دارد. این برنامه را می‌توانید بطور مستقیم از گوگل یا از طریق کد QR زیر دریافت کنید.

گرچه بسته‌های بروزرسانی برای امنیت گوشی‌های همراه ضروری‌اند اما ارائه‌ی آنها توسط تولید‌کنندگان گوشی، سخت و پرهزینه است. همین امر باعث ایجاد فاصله بین انتشار بروزرسانی‌های آندروید شده است؛ بطوریکه اکثر کاربران، آخرین نسخه‌ی آندروید را ماه‌ها دیرتر دریافت می‌کنند. در حال حاضر تعداد دستگاه‌های دارای آندروید نوگات، کمی کمتر از ۱۰ درصد است. برای حل این مشکل، گوگل بزرگترین تغییر در معماری سطح پایین سیستم آندروید را معرفی کرد: پروژه‌ی Treble.

پروژه‌ی Treble با جداسازی اینترفیس پیاده‌سازی سازندگان گوشی از هسته‌ی آندروید، ارائه‌ی بسته‌های بروزرسانی را بسیار آسان می‌کند. این طراحی ماژولار، امکان بروزرسانی جداگانه‌ی پلتفورم آندروید و اجزاء مربوط به سازندگان را فراهم می‌کند. درنتیجه سازندگان گوشی و قطعات (به عنوان مثال کوالکام) لازم نیست بعد از هر بروزرسانی آندورید، کدهای مربوط به چیپ‌ها را از نو بنویسند. گرچه بروزرسانی‌های سریع، ذاتا باعث افزایش امنیت می‌شوند اما پروژه‌ی Treble تاثیر عمیق‌تری روی امنیت دستگاه‌های آندرویدی خواهد گذاشت. جداسازی اینترفیس سازندگان، کار را برای حمله‌ی کدهای مخرب بسیار سخت می‌کند.

اینترفیس بین کدهای مشترک دستگاه و اجزاء سخت‌افزاری، بوسیله‌ی لایه HAL) Hardware Abstraction Layer) انجام می‌شود. HAL ها معمولا بصورت کتابخانه‌های مشترک بسته‌بندی شده و بطور مستقیم در پروسه‌ای که به دسترسی سخت‌افزاری نیاز دارد، بارگذاری می‌شوند. این بارگذاری، سطح امنیت HAL را به میزان امنیت پروسه کاهش می‌دهد. به بیان ساده‌تر، پروسه باید تمام دسترسی‌هایی که HAL به آن ها نیاز دارد را داشته باشد (مانند دسترسی مستقیم به درایورهای کرنل). همینطور با توجه به اینکه دسترسی هر HAL برابر با دسترسی بقیه پروسه است، وجود چند HAL در یک پروسه باعث می‌شود HAL ها به سخت‌افزارهایی که نباید، دسترسی داشته باشند. شکل زیر بیانگر این قضیه است.

بعد از پیاده‌سازی پروژه‌ی Treble، هر HAL به پروسه‌ی جداگانه‌ی مربوط به خود منتقل خواهد شد. درنتیجه، هر HAL فقط به سخت‌افزاری که خودش کنترل می‌کند دسترسی خواهد داشت. همچنین پروسه‌ها دسترسی‌های اضافه به درایورها و سخت‌افزار‌های کنترلی HAL ها را از دست می‌دهند. پروژه‌ی Treble باعث شده تقریبا ۲۰ HAL) HAL های وای فای، سنسورها، GPS و غیره) ازپروسه سیستم خارج شوند. قبل از پروژه‌ی Treble ، نفوذ به هر کدام از این HAL ها به منزله‌ی دسترسی سیستمی بود اما در آندروید ۸، دسترسی‌های هر HAL محدود به خودشان است.