وایبر، واتس آپ و دیگر برنامه های گوشی تلفن همراه این روزها به دلیل وسعت در استفاده و داشتن نیاز به اتصال به شبکه اینترنت برای تکمیل عملکرد و کاربرد بیشتر میتوانند اطلاعات شما را راحت تر مورد حمله قرار دهند به همین دلیل باید در مورد امنیت آنها مطمئن باشید.
یک مطالعه امنیتی جدید نشان میدهد که اینستاگرام، OkCupid و بسیاری برنامههای دیگر اندروید، در آزمایشهای ساده و اولیه شامل اقدامات امنیتی برای محافظتِ اطلاعات کاربران موفق نمیشوند و از نظر حریم خصوصی در معرض خطر هستند. گروه امنیتی UNHcFREG که این مطالعه اخیر را انجام داده است، در ابتدای سال، آسیبپذیریهای مختلفی را روی دو برنامه معروف واتساپ و وایبر شناسایی کرد و گزارش داد.باید بدانید که این گروه اکنون، تحقیقات خود را روی طیف گستردهتری از اپها صورت داده و به تجزیه و تحلیل رفتار و سازوکارهای امنیتی آنها پرداخته است. در این آزمایشها سعی شده نقاط ضعف امنیتی که اطلاعات کاربران را در معرض خطر قرار میدهند، یافته و تخمین زده شود. گروه امنیتی UNHcFREG گزارشی از یافتههای خود را به صورت فیلم روی شبکههای اجتماعی پخش کرد که با سرعت زیادی منتشر شد و بیش از یک میلیون کاربر از آن بازدید کردند. این گروه میگوید چیزی که ما واقعاً یافتیم این است که توسعهدهندگان برنامههای سیستمعامل اندروید بسیار بههم ریخته هستند. ابزارهای تجزیه و تحلیل ترافیکی، مانند Wireshark و NetworkMiner، به خوبی نشان میدهند که اطلاعات کاربران روی سرورها چگونه رد و بدل میشوند و از کجا به کجا انتقال مییابند و ذخیره میشوند. این ابزارها نشان میدهند هنوز اپهای معروفی مانند فیسبوک، اینستاگرام، مسیجمی، تانگو، هیواید، تکستپلاس، OkCupid و OoVoo از سیستمهای احرازهویت عکس استفاده نمیکنند و دسترسی به تصاویر و انتقال آنها برای دیگران بدون هیچگونه تدابیر امنیتی انجام میشود. تصاویری که از طریق پروتکل HTTP منتقل میشوند؛ هیچگونه سازوکاری برای احرازهویت ندارند.
استانداردهای
امنیتی میگویند به محض دسترسی نامعتبر به یک عکس، باید از روی سرور پاک
شود یا اینکه از صاحب اصلی عکس درخواست احرازهویت صورت گیرد. نرمافزارهای
پیامرسانی نیز اقدام به رمزنگاری اطلاعات خود نمیکنند و اگر کسی گوشی
موبایل فرد دیگری را به دست آورد، به سادگی میتواند همه پیامها را
بخواند. بدتر از همه اینکه بسیاری از برنامههای کاربردی روی اندروید از
پروتکل SSL/TLS که اکنون برای تمامی مرورگرهای دسکتاپ است، استفاده
نمیکنند. در نتیجه، یک پیشفرض گواهینامههای دیجیتال صادرشده برای
سایتها روی گوشیهای موبایل یا تبلتها کاربردی ندارند.
در این صورت اگر کاربر در یک مکان عمومی به سایت بانک متصل شود، هکرها
میتوانند شبکه وایفای را شنود کرده و به اطلاعات حساس و حیاتی او دست
یابند و در آینده حساب کاربریاش را هک کنند. مؤسسه UNHcFREG میگوید که با
بسیاری از توسعهدهندگان این اپها تماس گرفته و نتایج این مطالعه جدید را
برایشان ارسال کردهاند، اما بسیاری از آنها فرصت پاسخگویی ندارند یا از
ایمیلهای پشتیبانی آنها جوابی دریافت نمیکنند.
