به گزارش ندای گیلان،با غیر فعال کردن یا رد مجوز ردیابی یک اپ در گوشی اندرویدی، این انتظار میرود که دیگر آن اپ اجازه دسترسی به موقعیت مکانی کاربر را نداشته باشد. اما محققان اخیرا متوجه شدند که هزاران اپ راهی برای دور زدن این محدودیت پیدا کرده و میتوانند به موقعیت کاربر دسترسی پیدا کنند.
حتی اگر مجوز مذکور به یک اپ خاص داده نشود، اپ دیگری که مجوز ردیابی برایش فعال است قادر به اشتراک گذاری دادههای موقعیت با اپهای دیگر و یا حتی ذخیره اطلاعات در محلی است که سایر اپها هم به آن دسترسی دارند.
حتی اگر این دو اپ به هم مرتبط نباشند، به دلیل اینکه روی یک کیت توسعه نرمافزاری (SDK) ساخته شدهاند بنابراین امکان به اشتراکگذاری چنین دادههایی را داشته و احتمالا صاحبان SDK هم به این اطلاعات دسترسی خواهند داشت.
بر اساس تحقیقی که در PrivacyCon 2019 ارائه شد، این موضوع در مورد اپهای شرکتهایی مثل سامسونگ و دیزنی که تا به حال صدها میلیون بار دانلود شدهاند صدق می کند. این اپها با SDK شرکت چینی Baidu و دفتر تحلیل داده Salmonads ساخته شدهاند و میتوانند اطلاعات کاربر را از اپی به اپ دیگر و البته به سرورهایشان انتقال دهند.
محققان دریافتند که برخی از اپهایی که از SDK بایدو استفاده میکنند، احتمالا برای کاربرد خودشان سعی میکنند به صورت مخفیانه به اطلاعات کاربر دسترسی پیدا کنند. به جز این مساله، محققان به آسیبپذیریهای دیگری هم پی بردند. مثلا برخی از آنها میتوانند اطلاعات مک آدرس اختصاصی چیپ شبکه، روتر، نقطه دسترسی بیسیم، SSID و… را به سرورهای مبدا ارسال کنند.
در این تحقیق همچنین اشاره شده که اپ عکاسی Shutterfly مختصات دقیق GPS را بدون داشتن مجوز ردیابی به سرورهای خود ارسال میکند. البته کمپانی سازنده این اپ چنین موضوعی را انکار کرده است.
به نظر میرسد قرار است وصلههایی برای این مشکلات اندروید برای اندروید Q منتشر شوند اما به هر حال این کار مشکل دستگاههایی که از ورژنهای قبلی اندروید استفاده میکنند و قابلیت آپدیت به Q را نیز ندارند، برطرف نمیکند.
با این اوصاف گوگل باید تلاش بیشتری برای حل این مشکل از خود نشان بدهد چرا که فقط دارندگان گوشیهای جدید نیستند که به چنین مشکلاتی دچارند. به گفته یکی از محققان این مطالعه، گوگل تا به حال بارها به صورت علنی اعلام کرده که امنیت نباید به یک کالای پر زرق و برق تبدیل شود اما روندی که این شرکت در پیش گرفته کاملا بر خلاف این ادعاهاست.
دیجیاتو
Friday, 22 November , 2024