آندروئيد و چالش‌های امنيتی آن


 





 
نوپاتر بودن سيستم‌عامل موبايل آندروئيد در مقايسه با بسياری از سيستم‌عامل‌های رايج کنونی از يک سو و گسترش آن در ميان کاربران از سوی ديگر باعث شده تا طی چند ماه اخير چند گزارش امنيتی درباره ضعف‌های آن در رسانه‌ها منتشر شود. تعدد اين ضعف‌ها برای سيستم‌عاملی که به تازگی قدم به دنيای فناوری گذاشته و البته با استقبال زيادی مواجه شده، چندان عجيب نيست و چنانچه گوگل نسبت به برطرف‌كردن ايرادهای گزارش شده به موقع اقدام کند، روند رو به رشد آن ادامه خواهد يافت. يکی از تازه‌ترين گزارش‌ها درباره وضعيت امنيتی آندروئيد چندی پيش منتشر و در آن اعلام شد که داده‌های خصوصی کاربرانی که با گوشی‌ها يا دستگاه‌های مجهز به آندروئيد 2,3,3 يا نسخه‌های پيش از آن به شبکه‌های وای‌فای ناامن متصل می‌شوند، در معرض افشا شدن قرار دارد. طبق اين گزارش، بررسی‌های پژوهشگران دانشگاه Ulm آلمان نشان می‌دهد، بيش از 99 درصد اسمارت‌فون‌های آندروئيدی به‌سادگی در معرض تهديد هکرهای موبايل قرار دارند. از اين‌رو، ‌مهاجمان می‌توانند با استفاده از داده‌های فاش شده، خود را به جای صاحب واقعی آن داده‌ها جا بزنند و به حساب‌های آنلاين کاربران در گوگل و شبکه‌های اجتماعی دسترسی پيدا کنند.
اين گزارش می‌افزايد، باستين کونينگز، جنز نيکلز و فلوريان شاوب، پژوهشگران دانشگاه Ulm علت اين ضعف آندروئيد را پياده‌سازی نادرست پروتکل ClientLogin عنوان کرده‌اند که از آن در آندروئيد 3/3/2و نسخه‌های قبلی استفاده شده‌است. زمانی که کاربر اطلاعات خود را برای ورود به يک ‌سايت وارد می‌کند، پروتکل ClientLogin يک توکن احراز هويت (authToken) دريافت می‌کند که به صورت يک فايل به طو ركامل متنی ارسال می‌شود. با توجه به اين‌که اعتبار توکن احراز هويت چهارده روز است و در اين بازه زمانی می‌تواند بارها مورد استفاده قرار بگيرد، هکرها می‌توانند به اطلاعات ذخيره‌شده در فايل مذکور دسترسی پيدا کنند.
اين پژوهشگران در وبلاگ خود نوشته‌اند: «ما می‌خواستيم بدانيم که آيا می‌توان در برابر سرويس‌های گوگل واقعاً يک حمله جعل شخصيت ترتيب داد يا خير و به اين منظور تحليل‌های خود را آغاز کرديم.» پاسخ کوتاه بود: «بله، اين کار ممکن است و انجام آن بسيار آسان است.» همچنين، چنين حمله‌ای به سرويس تقويم گوگل (Google Calendar) و تماس‌ها (Contacts) محدود نيست، بلکه به لحاظ نظری همه سرويس‌های گوگل که از پروتکل احراز هويت‌ ClientLogin برای دسترسی به داده‌های API آن استفاده می‌کنند، در معرض چنين حمله‌ای قرار دارند.
اين پژوهشگران می‌نويسند: «يک مهاجم برای گردآوری اين توکن‌ها در مقياسی بزرگ، می‌تواند با استفاده از يک SSID مشترک از يک شبکه بی‌سيم که رمزنگاری نشده (تی‌موبايل، attsifi، starbucks) يک نقطه دسترسی وای‌فای ايجاد کند. منظور از SSID (سرنام Service Set Identifier) نامی است که يک شبکه محلی بي‌سيم 802.11 را مشخص می‌کند. تلفن‌های آندروئيدی با تنظيم‌های پيش‌فرض به طور خودکار به يک شبکه از پيش شناخته‌شده متصل می‌شوند و بسياری از برنامه‌ها فوراً درصدد همگام‌سازی خود با آن برمی‌آيند. طی حمله در حالي‌که اين فرآيند همگام‌سازی از کار می‌افتد (مگر اين‌که مهاجم اين درخواست‌ها را ارسال کند)، مهاجم توکن‌های احراز هويت چنين سرويسی را که درصدد همگام‌شدن بود، ضبط می‌کند. اين پژوهشگران برای برطرف كردن اين مشکل به توسعه‌دهندگان و کاربران گوگل و آندروئيد چند راهکار پيشنهاد داده‌اند. توسعه‌دهندگانی که برنامه‌هايشان از ClientLogin بهره می‌برد بايد به سرعت به https سوئيچ کنند. شرکت گوگل نيز بايد چرخه فعاليت هر توکن احراز هويت را محدود کند و تنها زمانی اجازه اتصال خودکار بدهد که شبکه مورد استفاده امن باشد. کاربران آندروئيد بايد سيستم‌عامل دستگاه‌های خود را هر چه زودتر به نسخه 2,3,4 ارتقا دهند و همچنين قابليت همگام‌سازی خودکار در حين اتصال از طريق وای‌‌فای را خاموش کنند يا تمام اتصال‌ها را به شبکه‌های وای‌‌فای نا امن غيرممکن کنند. به طور معمول، محصولات جديد به مرور سهم خود را در بازار افزايش می‌دهند و همين موضوع باعث می‌شود تا شرکت‌های عرضه‌کننده با چالش کمتری نسبت به شناسایی ضعف‌ها و برطرف کردن آن‌ها اقدام کنند. اما استقبال گسترده از آندروئيد که شايد بخش زيادی از آن مرهون نام گوگل در کنار اين سيستم‌عامل است، باعث شد تا شناسایی ضعف‌های امنيتی در آن حساسيت‌های بيشتری داشته باشد.
منبع:ماهنامه شبکه
ارسال توسط کاربر محترم سایت : hasantaleb