چند گزارش امنیتی درباره ضعف‌های اندروید

نوپاتر بودن سیستم‌عامل موبایل آندروئید در مقایسه با بسیاری از سیستم‌عامل‌های رایج کنونی از یک سو و گسترش آن در میان کاربران از سوی دیگر باعث شده تا طی چند ماه اخیر چند گزارش امنیتی درباره ضعف‌های آن در رسانه‌ها منتشر شود.

به گزارش پایگاه خبری فناوری اطلاعات برسام و به نقل از ماهنامه شبکه، تعدد این ضعف‌ها برای سیستم‌عاملی که به تازگی قدم به دنیای فناوری گذاشته و البته با استقبال زیادی مواجه شده، چندان عجیب نیست و چنانچه گوگل نسبت به برطرف‌کردن ایرادهای گزارش شده به موقع اقدام کند، روند رو به رشد آن ادامه خواهد یافت.

  یکی از تازه‌ترین گزارش‌ها درباره وضعیت امنیتی آندروئید چندی پیش منتشر و در آن اعلام شد که داده‌های خصوصی کاربرانی که با گوشی‌ها یا دستگاه‌های مجهز به آندروئید ۲,۳,۳ یا نسخه‌های پیش از آن به شبکه‌های وای‌فای ناامن متصل می‌شوند، در معرض افشا شدن قرار دارد.

  طبق این گزارش، بررسی‌های پژوهشگران دانشگاه Ulm آلمان نشان می‌دهد، بیش از ۹۹ درصد اسمارت‌فون‌های آندروئیدی به‌سادگی در معرض تهدید هکرهای موبایل قرار دارند.

از این‌رو، ‌مهاجمان می‌توانند با استفاده از داده‌های فاش شده، خود را به جای صاحب واقعی آن داده‌ها جا بزنند و به حساب‌های آنلاین کاربران در گوگل و شبکه‌های اجتماعی دسترسی پیدا کنند.

این گزارش می‌افزاید، باستین کونینگز، جنز نیکلز و فلوریان شاوب، پژوهشگران دانشگاه Ulm علت این ضعف آندروئید را پیاده‌سازی نادرست ��روتکل ClientLogin عنوان کرده‌اند که از آن در آندروئید ۳/۳/۲و نسخه‌های قبلی استفاده شده‌است.

زمانی که کاربر اطلاعات خود را برای ورود به یک ‌سایت وارد می‌کند، پروتکل ClientLogin یک توکن احراز هویت (authToken) دریافت می‌کند که به صورت یک فایل به طو رکامل متنی ارسال می‌شود.

با توجه به این‌که اعتبار توکن احراز هویت چهارده روز است و در این بازه زمانی می‌تواند بارها مورد استفاده قرار بگیرد، هکرها می‌توانند به اطلاعات ذخیره‌شده در فایل مذکور دسترسی پیدا کنند.

این پژوهشگران در وبلاگ خود نوشته‌اند: «ما می‌خواستیم بدانیم که آیا می‌توان در برابر سرویس‌های گوگل واقعاً یک حمله جعل شخصیت ترتیب داد یا خیر و به این منظور تحلیل‌های خود را آغاز کردیم.»

 پاسخ کوتاه بود: «بله، این کار ممکن است و انجام آن بسیار آسان است.» همچنین، چنین حمله‌ای به سرویس تقویم گوگل (Google Calendar) و تماس‌ها (Contacts) محدود نیست، بلکه به لحاظ نظری همه سرویس‌های گوگل که از پروتکل احراز هویت‌ ClientLogin برای دسترسی به داده‌های API آن استفاده می‌کنند، در معرض چنین حمله‌ای قرار دارند.

این پژوهشگران می‌نویسند: «یک مهاجم برای گردآوری این توکن‌ها در مقیاسی بزرگ، می‌تواند با استفاده از یک SSID مشترک از یک شبکه بی‌سیم که رمزنگاری نشده (تی‌موبایل، attsifi، starbucks) یک نقطه دسترسی وای‌فای ایجاد کند.

منظور از SSID(سرنام Service Set  Identifier) نامی است که یک شبکه محلی بی‌سیم ۸۰۲٫۱۱ را مشخص می‌کند. تلفن‌های آندروئیدی با تنظیم‌های پیش‌فرض به طور خودکار به یک شبکه از پیش شناخته‌شده متصل می‌شوند و بسیاری از برنامه‌ها فوراً درصدد همگام‌سازی خود با آن برمی‌آیند.

طی حمله در حالی‌که این فرآیند همگام‌سازی از کار می‌افتد (مگر این‌که مهاجم این درخواست‌ها را ارسال کند)، مهاجم توکن‌های احراز هویت چنین سرویسی را که درصدد همگام‌شدن بود، ضبط می‌کند. 

این پژوهشگران برای برطرف کردن این مشکل به توسعه‌دهندگان و کاربران گوگل و آندروئید چند راهکار پیشنهاد داده‌اند. توسعه‌دهندگانی که برنامه‌هایشان از ClientLogin بهره می‌برد باید به سرعت به https سوئیچ کنند.

شرکت گوگل نیز باید چرخه فعالیت هر توکن احراز هویت را محدود کند و تنها زمانی اجازه اتصال خودکار بدهد که شبکه مورد استفاده امن باشد. کاربران آندروئید باید سیستم‌عامل دستگاه‌های خود را هر چه زودتر به نسخه ۲,۳,۴ ارتقا دهند و همچنین قابلیت همگام‌سازی خودکار در حین اتصال از طریق وای‌‌فای را خاموش کنند یا تمام اتصال‌ها را به شبکه‌های وای‌‌فای نا امن غیرممکن کنند.

  به طور معمول، محصولات جدید به مرور سهم خود را در بازار افزایش می‌دهند و همین موضوع باعث می‌شود تا شرکت‌های عرضه‌کننده با چالش کمتری نسبت به شناسایی ضعف‌ها و برطرف کردن آن‌ها اقدام کنند.

اما استقبال گسترده از آندروئید که شاید بخش زیادی از آن مرهون نام گوگل در کنار این سیستم‌عامل است، باعث شد تا شناسایی ضعف‌های امنیتی در آن حساسیت‌های بیشتری داشته باشد.