الرئيسية / أخبار تقنية / اكتشاف أكثر من 1،300 تطبيق أندرويد يجمع البيانات حتى إذا رفضت الأذونات

اكتشاف أكثر من 1،300 تطبيق أندرويد يجمع البيانات حتى إذا رفضت الأذونات

الهواتف الذكية هي منجم ذهبى للبيانات الحساسة والتطبيقات الحديثة تعمل كحفارين يجمعون باستمرار كل المعلومات الممكنة من أجهزتك.

يعتمد نموذج الأمان لأنظمة التشغيل الحديثة للهاتف المحمول مثل أندرويد و iOS أساسًا على أذونات تحدد بوضوح الخدمات الحساسة أو إمكانيات الجهاز أو معلومات المستخدم التي يستطيع التطبيق الوصول إليها مما يسمح للمستخدمين بتحديد التطبيقات التي يمكن الوصول إليها.

 ومع ذلك كشفت النتائج الجديدة التي أجراها فريق من الباحثين في المعهد الدولي لعلوم الكمبيوتر في كاليفورنيا أن مطوري تطبيقات الأجهزة المحمولة يستخدمون تقنيات مظللة لجني بيانات المستخدمين حتى بعد رفض الأذونات.

في حديثهم “50 طريقة لصب بياناتك” [PDF] في PrivacyCon التي استضافتها لجنة التجارة الفيدرالية يوم الخميس الماضي قدم الباحثون نتائجهم التي تحدد كيف يقوم أكثر من 1،300 تطبيق أندرويد بجمع بيانات الموقع الجغرافي الدقيقة للمستخدمين ومعرفات الهاتف حتى عندما يقومون  نفى صراحة الأذونات المطلوبة.

وكتب الباحثون: “يمكن للتطبيقات التحايل على نموذج الإذن والوصول إلى البيانات المحمية دون موافقة المستخدم باستخدام كل من القنوات السرية والجانبية”.

 “تحدث هذه القنوات عندما يكون هناك وسيلة بديلة للوصول إلى المورد المحمي الذي لا يتم تدقيقه بواسطة آلية الأمان وبالتالي يترك المورد دون حماية.”

درس الباحثون أكثر من 88000 تطبيقًا من متجر جوجل بلاي تم العثور على 1325 تطبيقًا ينتهك أنظمة الأذونات في نظام التشغيل أندرويد باستخدام الحلول المخفية التي تتيح لهم البحث عن البيانات الشخصية للمستخدمين من مصادر مثل البيانات الوصفية المخزنة في الصور و Wi-Fi  روابط.

بيانات الموقع على سبيل المثال وجد الباحثون تطبيقًا لتعديل الصور يسمى Shutterfly يقوم بجمع بيانات الموقع الخاصة بجهاز ما عن طريق استخراج إحداثيات GPS من البيانات الوصفية للصور كقناة جانبية حتى عندما يرفض المستخدمون منح إذن التطبيق لـ  الوصول إلى بيانات الموقع.

“لاحظ أن تطبيق Shutterfly (com.shutterfly) يرسل بيانات تحديد الموقع الجغرافي الدقيقة إلى خادمه الخاص (⁦apcmobile.thislife.com⁩) دون الحصول على إذن الموقع.”

وعلاوة على ذلك تجدر الإشارة إلى أنه إذا كان التطبيق يمكنه الوصول إلى موقع المستخدم فيمكن أيضًا لجميع خدمات الأطراف الخارجية المضمّنة في ذلك التطبيق الوصول إليه.

وإلى جانب ذلك معرف الهاتف وجد الباحثون 13 تطبيقًا آخر بأكثر من 17 مليون عملية تثبيت تصل إلى IMEI للهاتف وهو معرف ثابت للهاتف يتم تخزينه دون حماية على بطاقة SD الخاصة بالهاتف بواسطة تطبيقات أخرى.

“يحمي أندرويد الوصول إلى IMEI للهاتف بإذن READ_PHONE_STATE ولقد حددنا خدمات طرف ثالث عبر الإنترنت تستخدم قنوات سرية مختلفة للوصول إلى IMEI عندما لا يكون لدى التطبيق الإذن المطلوب للوصول إلى IMEI.”

ووفقًا للباحثين تستخدم مكتبات الجهة الخارجية التي توفرها شركتان صينيتان وهما Baidu و Salmonads هذه التقنية كقناة سرية لجمع البيانات التي لم يكن لديهما إذنًا بالوصول إليها.

 عنوان Mac – تم العثور على تطبيقات أخرى باستخدام عنوان MAC الخاص بنقطة الوصول إلى Wi-Fi لمعرفة موقع المستخدم وتم العثور على التطبيقات التي تعمل كعناصر تحكم ذكية عن بُعد والتي لا تحتاج إلى معلومات الموقع لكي تعمل وهي تجمع بيانات الموقع بهذه الطريقة.

“اكتشفنا الشركات التي تحصل على عناوين MAC لمحطات Wi-Fi الأساسية المتصلة من ذاكرة التخزين المؤقت ARP ويمكن استخدام ذلك كبديل لبيانات الموقع. وجدنا 5 تطبيقات تستغل هذه الثغرة و 5 مع الكود ذي الصلة للقيام بذلك ،”

كتب الباحثون “بالإضافة إلى ذلك فإن معرفة عنوان MAC الخاص بالموجه يسمح لأحدهم بربط أجهزة مختلفة تشترك في الوصول إلى الإنترنت والتي قد تكشف عن العلاقات الشخصية من قبل مالكيها المعنيين أو تمكين تتبع الأجهزة المشتركة.”

وفي دراستهم نجح الباحثون في اختبار هذه التطبيقات بنجاح على إصدارات معدلة من أندرويد مارشملوو وأندرويد بي

أبلغ الباحثون جوجل عن النتائج التي توصلوا إليها في سبتمبر الماضي ودفعت الشركة لفريقه مكافأة كبيرة للإفصاح عن المشكلات بشكل مسؤول ولكن لسوء الحظ سيتم طرح الإصلاحات مع إصدار Android Q الذي من المقرر أن يصدر لاحقًا هذا الصيف.

وسيعالج تحديث Android Q المشكلات عن طريق إخفاء بيانات الموقع في الصور من تطبيقات الجهات الخارجية فضلاً عن إلزامها للتطبيقات التي تصل إلى شبكة Wi-Fi بالحصول على إذن للوصول إلى بيانات الموقع.

حتى ذلك الحين يُنصح المستخدمين بعدم الوثوق في تطبيقات الجهات الخارجية وإيقاف تشغيل إعدادات أذونات الموقع والمعرف للتطبيقات التي لا تحتاجها فعليًا حتى تعمل وقم بإلغاء تثبيت أي تطبيق لا تستخدمه بانتظام.

عن فدوى

شاهد أيضاً

تويتر ستوضح قريبًا سبب ظهور عبارة “هذه التغريدة غير متاحة”

أدوات الخدمة الذاتية في تويتر عندما يتعلق الأمر بحظر المحتوى الذي لا ترغب في رؤيته …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *