آخرین خبرها

پربازدیدهای ماه

داغ روز

نماینده روسیه در شورای امنیت : آمریکا با هر قطعنامه آتش بس در غزه مخالفت کرده است

اقدام اسرائیل خرابکاری است نه حمله نظامی

چاپ ایران‌چک ۵۰۰ هزار تومانی واقعیت دارد؟

اطلاعیه جدید شرکت فرودگاه‌ها/ قبل از عزیمت به فرودگاه ساعت پروازها را چک کنید

لیلاز: اسرائیل می خواهد ما را وارد یک درگیری بزرگ کند؛ نباید در این دام بیفتیم

کد خبر: 97675

علم و فن آوری

سه شنبه, ۲۲ مرداد ۱۳۹۸ ۱۵:۵۱

امنیت گوگل در دستان بد افزارها

به‌گفته‌ی تیم تحقیقات بخش امنیت گوگل، میلیون‌ها گوشی هوشمند اندرویدی پیش از فروش دارای بدافزارهای از پیش‌نصب‌شده‌ی خطرناک هستند.

تاکنون بارها اخباری در مورد وجود میلیون‌ها اپلیکیشن ناامن در پلی‌استور منتشر شده بود؛ ولی این بار با مشکلی جدید مواجه هستیم. این خطر کاربران ناآگاهی را که به گوشی‌های تازه خریداری‌شده‌ی خود و امنیت آن‌ها اعتماد دارند، تهدید می‌کند؛ چراکه هر بدافزار از پیش نصب‌شده می‌تواند بدافزارهای دیگری دانلود کند، کلاه‌برداری تبلیغاتی انجام دهد و حتی دستگاه کاربر را دراختیار خود بگیرد.

تهدیدکنندگان امنیت می‌توانند در نرم‌افزارهای پایه‌ای و پیش‌فرض اندروید، بدافزار پنهان کنند

اندروید یک جامعه‌‌ی متن‌باز روبه‌رشد است؛ یعنی برای خلاقیت‌ و نوآوری عالی است ولی وقتی تهدید‌کنندگان امنیت بتوانند در نرم‌افزارهای پایه‌ای و پیش‌فرض آن بدافزار پنهان کنند، دیگر چندان عالی به‌‌نظر نمی‌رسد. گوشی‌های جدید می‌توانند تا ۴۰۰ اپلیکیشن کارخانه‌ای پیش‌فرض داشته باشند که کاربران از بسیاری از آن‌ها هیچ استفاده‌ای نمی‌کنند. اما بسیاری از این اپلیکیشن‌ها برای وجود بدافزار بررسی نشده‌اند. این اپلیکیشن‌ها همان‌طور که از آن‌ها انتظار می‌رود کار می‌کنند و بعضا قابلیت یا سرویسی مفید ارائه می‌دهند؛ درنتیجه ما متوجه خطری که ممکن است ما را تهدید کند نمی‌شویم.

مدی استون، یکی از محققان امنیتی گوگل که عضو پروژه‌ زیرو این شرکت است، یافته‌های خود و تیمش را روز پنج‌شنبه در Black Hat به اشتراک گذاشت. وی هشدار داد:

اگر بدافزارها و مشکلات امنیتی به‌شکل اپلیکیشن‌های از پیش نصب‌شده ظاهر شوند، آسیب بزرگ‌تری می‌توانند وارد کنند. به همین دلیل است که بررسی، حساب‌رسی و آنالیز برای ما حیاتی است.

این ریسک، پروژه‌ی متن‌باز اندروید (Android's Open Source Project - AOSP) را که جایگزین کم‌هزینه‌تر نسخه‌ی کامل اندروید است، تحت‌تأثیر قرار می‌دهد. AOSP روی گوشی‌های هوشمند کم‌هزینه‌تر که در آن‌ها با استفاده از نرم‌افزارهای جایگزین‌ ارزان‌تر قیمت‌ها را کاهش می‌دهند، نصب می‌شود. این بدین معنی است که دارندگان گوشی‌هایی مانند سامسونگ و گوگل که از اندروید رسمی شرکت گوگل استفاده می‌کنند، از این خطر در امان هستند.

همچنین استون هشدار داد که برای مهاجمان، مزیت حمله به زنجیره‌ی تأمین این است که «به‌جای تلاش برای قانع‌کردن هزاران کاربر، تنها کافی است یک شرکت را به استفاده از اپلیکیشن خود ترغیب کنند». تیم گوگل جزئیاتی درمورد برندهایی که درگیر این مشکل هستند، فاش نکرد ولی بیش از ۲۰۰ سازنده‌ی تلفن همراه در تست‌ها مردود شدند؛ چراکه بدافزار امکان حمله‌ی از راه دور به دستگاه‌های آنان را فراهم می‌کرد.

به‌طور مشخص، دو کمپین بدافزار بدخیم به‌ نام‌های Chamois و Triada موجب نگرانی گوگل بودند. اقداماتی که Chamois انجام می‌دهد، عبارت‌اند از کلاه‌برداری‌های تبلیغاتی متنوع، نصب اپلیکیشن‌های پس‌زمینه، دانلود پلاگین و حتی ارسال پیام‌های متنی با هزینه‌ی گزاف. Chamois به‌تنهایی تابه‌حال روی ۷.۴ میلیون دستگاه نصب شده است. Triada هم بدافزار قدیمی‌تری است که تبلیغات نمایش می‌دهد و اپلیکیشن نصب می‌کند.

گوگل در تلاش برای کمک به سازندگان دستگاه‌ها است تا بتوانند این‌گونه نفوذپذیری‌ها را رصد کنند. استون ادعا می‌کند که بین مارس ۲۰۱۸ تا مارس ۲۰۱۹، این رصدها موجب کاهش تعداد دستگاه‌های آلوده به Chamois از ۷.۴ میلیون به تنها ۷۰۰ هزار دستگاه شده است. وی هشدار داد:

اکوسیستم اندروید وسیع است و با وجود گستره‌ی عظیمی از OEMها و سفارشی‌سازی‌ها، اگر بتوانید از خارج به زنجیره‌ی تأمین نفوذ کنید، آن‌گاه به تعداد دستگاه‌های فروخته‌شده، کاربر آلوده خواهید داشت. به‌همین دلیل رخ‌دادن این اتفاق ترسناک‌تر است.

بیشتر بخوانید:گوگل شیطان هوشمند

درحال حاضر، توصیه‌ی همیشگی به کاربران این است که اپلیکیشن‌های خود را از پلی‌استور دانلود و نصب کنند. عاقلانه است که هنگام نصب اپلیکیشن‌هایی که منبع مشخصی ندارند، با اندکی بدبینی و تردید رفتار کنید. هرچند که اگر این تهدیدها از قبل روی دستگاه نصب شده باشند، کار زیادی از دست کاربران برنمی‌آید و به‌ همین دلیل است که موضوع یاشدده این‌قدر خطرناک است. در مقابله با این مشکل تنها می‌توان به سازندگان اعتماد کرد که کار درست را انجام دهند و به توصیه‌های گوگل مبنی بر بررسی کامل نرم‌افزارها عمل کنند تا احتمال چنین ریسک‌هایی را از بین ببرند.

امکان ورود به سرویس‌های گوگل با اثرانگشت برای کاربران اندرویدی

واردکردن مکرر رمز‌های عبور یکی از کارهای عذاب‌آور و متداول در دنیای اینترنت به‌شمار می‌شود. برای ساده‌سازی این مسیر، بسیاری‌ از شرکت‌ها تاکنون به‌ راه‌های متفاوتی متوسل شده‌اند؛ اما گوگل به‌عنوان یکی‌ از غول‌های دنیای فناوری که سرویس‌های پراستفاده‌ی بسیاری دارد، هنوز از شیوه‌ی سنتی برای احرازهویت کاربران استفاده می‌کرد. با‌این‌حال، به‌نظر می‌رسد گوگل می‌خواهد در مسیر آینده‌ای بدون رمز‌های عبور متنی، یک گام رو‌به‌جلو حرکت کند؛ زیرا به‌زودی کاربران گوشی‌های اندرویدی می‌توانند تنها با استفاده از اثرانگشت یا الگو یا پین‌کد، وارد سرویس‌های گوگلی شوند.

دانگ‌جین هی و کریستین برند، دو تن از اعضای گوگل، درباره‌ی تصمیم این شرکت می‌گویند:

این قابلیت جدید گام دیگری در مسیر ایمن‌سازی و ساده‌سازی احرازهویت برای عموم کاربران بود.

هم‌اکنون این قابلیت تنها برای وب‌سایت passwords.google.com عمل می‌کند؛ اما طبق گفته‌ی اهالی مانتین‌ویو، به‌زودی شیوه‌ی احرازهویت مذکور راهش را به سرویس‌های دیگر نیز پیدا خواهد کرد. همان‌طورکه احتمالا مطلع هستید، بسیاری‌ از کاربران از رمز‌های قابل‌حدس و ساده‌ای استفاده می‌کنند که راه را برای افراد سودجو به‌منظور دسترسی به اطلاعات مهمشان در سرویس‌های مختلف هموار می‌سازد. اکنون روی‌آوردن گوگل به شیوه‌های احرازهویت نوین معظل هک‌کردن حساب‌‌های کاربری را کم‌رنگ‌تر از گذشته می‌کند؛ هرچند هنوز امکان وقوع چنین اتفاقی وجود دارد.

در‌این‌میان، مایکروسافت یکی‌ از بزرگان فناوری محسوب می‌شود که از مدت‌ها پیش سرویس‌های نظیر اسکایپ، اوت‌لوک، وان‌درایو و ایکس‌باکس لایو را با شیوه‌ی مدرن احرازهویت به‌روزرسانی کرده بود. هم مایکروسافت و هم گوگل، هر دو از استاندارد FIDO2 برای تحقق چنین هدفی بهره گرفته‌اند. براساس گفته‌ی اینن غول دنیای جست‌وجوی اینترنتی، به‌زودی احرازهویت ازطریق تشخیص چهره نیز به سرویس‌های گوگل اضافه خواهد شد.

به‌باور شما، روی‌آوردن شرکت‌های بزرگ فناوری به این روش احرازهویت می‌تواند به‌سود کاربران باشد؟ دیدگاه خود را در‌ این‌ باره با ما و دیگر کاربران به‌اشتراک بگذارید.

گرداورنده: معین کرمی

+ 9

- 6