تماشا کنید: محققان راهی برای هک اطلاعات شخصی کاربران تلفن‌های هوشمند با ۹۲٪ موفقیت پیدا کردند

امنیت و حریم خصوصی
دوشنبه ۳ شهریور ۱۳۹۳ - ۱۴:۳۶
مطالعه 2 دقیقه
وحید خامسی
محققان دانشگاه میشیگان نقطه‌ی ضعفی در اندروید، iOS و ویندوزفون پیدا کردند که به وسیله‌ی آن می‌توان به اطلاعات شخصی کاربر دسترسی پیدا کرد.
تبلیغات

با وجود این که بررسی بر روی تلفن اندرویدی انجام شده اما به علت مکانیزم یکسان دسترسی به حافظه‌ی داخلی، این آسیب پذیری در هر سه سیستم عامل مطرح تلفن‌های هوشمند وجود دارد.

پروفسور ژیون کیان استاد کالج ریورساید در این باره می‌گوید:

همیشه فرض بر این بوده که برنامه‌ها نمی‌توانند به سادگی با هم تداخل داشته باشند، اما تحقیقات ما نشان می‌دهد این فرض درست نیست و یک برنامه‌ می‌تواند به اطلاعات برنامه‌ی دیگر دسترسی پیدا کرده و از آن جهت مقاصد مخرب استفاده کند.

روش کار به این صورت است که ابتدا کاربر برنامه‌ای مخرب اما به ظاهر بی ضرر مثل یک تصویر پس زمینه را دانلود می‌کند، پس از آن مهاجم با استفاده کدهای مخفی موجود در آن برنامه به داده‌های دائمی حافظه‌ی مشترک بین برنامه‌ها که برای تمام سطوح قابل دسترسی است، دست پیدا می‌کند سپس تغییرات صورت گرفته در این داده‌ها را تحت نظر می‌گیرد و این تغییرات را به فعالیت‌های مختلف صورت گرفته مرتبط می‌کند مثلا کدام داده‌ها به جیمیل مربوط می‌شود و یا اطلاعات حساب بانکی فرد کدام است. حتی تیم تحقیقاتی با استفاده از چند روش دیگر توانست تمام فعالیت‌های کاربر را در زمان واقعی در نظر بگیرد.

برای انجام یک حمله‌ی موفق دو عامل باید در نظر گرفته شود. ابتدا این که حمله باید دقیقا در لحظه‌ای که کاربر فعالیت مورد نظر را انجام می‌دهد انجام شود و دوم این که کاربر باید بی‌خبر از تمام این اتفاقات بماند.

دکتر آلفرد چن از دانشگاه میشیگان می گوید:

ما می‌دانیم کاربر چه زمانی از اپلیکیشن بانک‌داری خود استفاده می‌کند، در زمان ورود وی به برنامه، ما صفحه‌ای مشابه به صفحه‌ی ورود نام کاربری و پسورد بانک را به برنامه تزریق می‌کنیم سپس اطلاعات حساب بانکی را انتقال می‌دهیم.

از میان هفت برنامه‌ای که بررسی شدند موفقیت این روش ۹۲ درصد برای H&R Blocks، میزان ۸۲ درصد برای webMD، تقریبا ۹۲٪ برای جیمیل و ۸۳ درصد برای Chase Bank بوده است. آمازون نفوذناپذیرترین اپلیکیشن با ۴۸ درصد موفقیت بود، زیرا این برنامه فقط به یک فعالیت اجازه‌ی ارتباط به فعالیت دیگر را می‌دهد و به سختی می‌توان فعالیت بعدی کاربر را حدس زد.

آموزش ایمیل

این تیم تحقیقاتی پیشنهاد می‌کند کاربران برنامه‌هایی را که از منشا آن‌ها مطمئن نیستند نصب نکنند و همچنین به درخواست‌های دسترسی به اطلاعات شخصی که برنامه‌ها تقاضا می‌کنند، توجه کنند. نتایج بررسی از این گزارش قابل دسترسی است.

مقاله رو دوست داشتی؟
نظرت چیه؟
تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات

با چشم باز خرید کنید
زومیت شما را برای انتخاب بهتر و خرید ارزان‌تر راهنمایی می‌کند
ورود به بخش محصولات
گوشی
تبلت
لپ‌تاپ
تلویزیون
ساعت هوشمند
هدفون
هارد
کنسول بازی
کارت گرافیک
پردازنده
مانیتور
SSD
دوربین‌
پاوربانک
شارژر
اسپیکر