فعالیت بیشترین حجم بدافزار موبایلی در ایران را نمیتوان تنها به سهلانگاری کاربران مربوط دانست و این موضوع نشان از وجود بسترها و روشهای گسترده برای آلودگی دستگاههای تلفن همراه ایرانیان دارد.
اگرچه بخشی از این بستر قاعدتا به دلیل نبود سواد کافی و بخش دیگری از آن به دلیل عدم برخورد قانونی مناسب با متخلفان است.
اما نگاه به مجموعه گزارشهای کمسابقه مرکز ماهر، که جسورانه و به درستی به صورت عمومی منتشر شد، در سال گذشته نشان داد مارکتهای ایرانی، یعنی همانهایی که باید در صدر آمادگی امنیتی و نقطه امن دانلود اپلیکیشن برای کاربران باشند، به بستری بزرگ برای فعالیت بدافزارها و جاسوسافزارهای موبایلی بدل شدهاند.
این در حالی است که به نظر میرسد ارادهای هم از سمت مدیران مارکتها برای بررسی پیش از انتشار اپلیکیشنها وجود ندارد.
سواستفاده آنتیویروسها از یک میلیون ایرانی
گزارشی که مرکز ماهر در اواخر آذرماه منتشر کرد نشان میدهد بسیاری از اپلیکیشنهای فارسی که مدعی ارایه خدمات آنتیویروس هستند، نه تنها این خدمات را در عمل ارایه نمیکنند که به سواستفاده از کاربران میپردازند.
بررسی 60 آنتیویروس آندروییدی منتشر شده در مارکتهای ایرانی در این گزارش نشان داد نه تنها هیچ کدام از آنها از کاربران در برابر ویروسها محافظت نمیکنند، بلکه صرفا با هدف ارسال تبلیغات برای یک میلیون کاربرشان ساخته شدهاند.
براساس این گزارش 60 آنتیویروس با توجه به شباهت بالایی که به یکدیگر داشتند به هفت دسته تقسیم شدند. معنی این حرف این است که از 7 کد برنامه مشابه، 60 برنامه با اسامی متفاوت بیرون آمده تا علاوه بر افزایش آمارهای کاربری و رونق کاذب و غیرواقعی، هرچه بیشتر کاربر جذب شود.
نکته جالب دیگر این گزارش این است که عملکرد این آنتیویروسها شباهتی به عملکرد آنتیویروسهای معروف فعال در بازار ایران مانند Kaspersky، Avira و Avast ندارد. در واقع این 60 اپلیکیشن هیچ کدام عملکرد قابل قبول یک آنتیویروس را ارایه نمیکنند و تقریبه همه چیز یک نمایش و ظاهرسازی است.
در این گزارش آمده است: برخی از یک پایگاه داده آفلاین استفاده میکنند که آن را به روزرسانی نمیکنند، برخی نیز فقط موارد بسیار اولیه همچون مجوزهای برنامهها و یا فرمت فایلهای ذخیره شده روی دستگاه را بررسی میکنند که این موارد از یک برنامه با عنوان آنتیویروس قابل قبول نیست. برخی از آنها هم اساسا کاری انجام نمیدهند و صرفا با ظاهرسازی کاربر را فریب میدهند که کار آنتیویروس یا خنک کننده پردازنده را انجام میدهند.
در این لیست اسامی چون «آنتیویروس پیشرفته» با بیش از 200 هزار نصب و «ویروس پاک کن با امنیت بالا» با 50 هزار نصب تا «آنتیویروس قدرتمند اریکه» با 100 نصب به چشم میخورد.
نکته دیگر این که برخی از آنتیویروسها با کد یکسان بیش از 15 بار روی مارکتهای ایرانی منتشر شدهاند. به این معنی که 15 بار مدیران مارکتهای ایرانی، ظاهرا فریب عملکرد و نام این برنامهها را خورده و هربار سهوا یا عمدا یک اپلیکیشن مشابه با نام متفاوت منتشر کردهاند.
متاسفانه بسیاری از این آنتیویروسها عملکرد درستی برای تشخیص بدافزارهای اندروییدی ندارند و همه هفت دستهای که بررسی شدند یا کاملا بدون هیچ تحلیلی هستند و یا تحلیل بسیار ابتدایی دارند که قابل قبول نیست و نمیتواند از دستگاه آندروییدی در برابر تهدیدات دفاع کند.
یکی از شبکههای اجتماعی محبوب در ایران اینستاگرام است. برنامههای زیادی با نامهای «فالوئریاب»، «لایک بگیر»، «آنفالویاب» و عناوین مشابه برای ارائه خدمات جانبی به کاربران اینستاگرامی در مارکتهای داخلی منتشر شده است. همانطور که نام برنامهها نشان میدهد، هدف برنامهها عمدتا گرفتن فالوئر و لایک و . برای کاربران اینستاگرام است.
پیشتر در مهرماه ۱۳۹۷، اخطاری توسط مرکز ماهر با عنوان (هشدار مرکز ماهر در خصوص برنامههای مرتبط با اینستاگرام) منتشر شد. در این گزارش جزییات بیشتر این بررسی ارایه میشود. اگرچه با توجه به زمان سپری شده از آغاز بررسیهای فنی، ممکن است تغییراتی در اپلیکیشنهای مذکور و اطلاعات انتشار یافته صورت پذیرفته باشد.
شناسایی 50 برنامه سارق در بررسی 200 برنامه اینستاگرامی
مرکز ماهر اوایل دی ماه نیز گزارش روشنگرانه دیگری را به صورت عمومی منتشر کرد. در این گزارش و در بررسی انجام شده بیش از 200 برنامه آندرویدی که خدمات مرتبط با اینستاگرام ارایه میدهند از مارکتهای داخلی جمع آوری و بررسی شد.
از این میان حدود 100 برنامه برای ارایه خدمات نیاز به ورود به حساب اینستاگرام کاربر داشتند. در بین این برنامهها بیش از 50 برنامه سارق اطلاعات کاربران شناسایی شد. این برنامهها نام کاربری و رمز عبور اینستاگرامی کاربر را به روشهای مختلف استخراج کرده و به سرور توسعهدهندگان ارسال میکردند. با توجه به آمار نصبهای این برنامهها بهصورت تخمینی اطلاعات بیش از یک میلیون کاربر اینستاگرام در ایران در اختیار تولیدکنندگان این برنامهها قرار گرفته است.
بسیاری از برنامههای دیگر (از بین 100 برنامه) نیز با وجود اینکه به کاربران اطمینان میدادند که به رمز عبور آنها دسترسی ندارند ولی با استفاده از روشهایی، رمز عبور را استخراج میکردند. برای این دسته از برنامهها شواهدی از ارسال رمز عبور به سرور خود برنامهها مشاهده نشد و به همین دلیل این برنامهها در لیست برنامههای سارق ذکر نشدهاند.
متاسفانه از بین حدود 100 برنامه بررسی شده تقریبا نیمی از آنها سارق بودند و اکثر برنامههای باقیمانده نیز حداقل رمز عبور اینستاگرام کاربر را استخراج میکردند (هرچند شواهدی مبنی بر سرقت کامل یافت نشد) و از این نظر این برنامهها در کل خطر بالایی دارند و بهتر است که فروشگاههای آندرویدی پیش از انتشار چنین برنامههایی (که نیاز به ورود به حساب کاربری اینستاگرام دارند) بررسی دقیقتری داشته باشند.
در این تحقیق تمام برنامههای آندرویدی مارکتهای داخلی از این نوع بررسی نشدند و فقط یک مجموعه دویستتایی از برنامهها به عنوان مشتی نمونه خروار، جمعآوری و تحلیل شدند. در نتیجه احتمالا برنامههای سارق بیشتری در مارکتها حضور دارند.
این گزارش تاکید میکند که شماری از این اپلیکیشنها حذف شدهاند.
بازیهایی که امنیت را به بازی گرفتهاند
نیمه دی ماه نوبت به انتشار گزارش مرکز ماهر در خصوص بازیهای موجود در کافهبازار رسید.
بازیهای قدیمی کنسول، دستهای از برنامههای موجود در فروشگاههای آندرویدی هستند که به دلیل خاطرهانگیز بودن آنها، در بین کاربران آندرویدی طرفداران زیادی دارد. برای اجرای این بازیهای قدیمی در محیط آندروید لازم است شبیهسازی به منظور پیادهسازی و اجرای بازی وجود داشته باشد.
این فایل شبیهساز اغلب در فایل نصبی برنامه (فایل apk) قرار دارد و پس از نصب، از کاربر خواسته میشود تا برنامه شبیهساز را نصب کنند. با تایید کاربر، فایل ثانویه شبیهساز روی دستگاه نصب شده و کاربر میتواند بازی کنسول را روی دستگاه آندرویدی خود اجرا کند. متاسفانه همین فرآیند به ظاهر ساده، یکی از ترفندهای مهاجمان برای سواستفاده از دستگاه کاربران و مخفی کردن رفتار مخرب خود است.
از آنجا که در اغلب این برنامهها، فایل مربوط به شبیهساز، بدون پسوند apk در پوشههای جانبی برنامه اصلی قرار داده شده است، در بررسیهای امنیتی برنامه، توسط فروشگاههای آندرویدی، به وجود چنین فایلی توجه نمیشود و فایل شبیهساز مورد بررسی قرار نمیگیرد. در مجوزهای نمایش داده شده در فروشگاههای آندرویدی نیز، تنها به مجوزهای فایل اولیه اشاره شده است و مجوزهایی که شبیهساز از کاربر میگیرد، ذکر نمیشود. این فرصتی است که مهاجم با استفاده از آن میتواند رفتار مخرب موردنظر خود را در این فایل مخفی کرده و بدافزار را در قالب برنامهای سالم در فروشگاه آندرویدی منتشر سازد.
علاوه بر این، فایل شبیهساز پس از نصب آی خود را مخفی کرده و کاربران عادی قادر به شناسایی و حذف آن نخواهند بود. نکته تاسفبرانگیز آنکه حتی با حذف برنامه اصلی نیز، فایل شبیهساز حذف نشده و پایگاه ثابتی روی دستگاه قربانی برای مهاجم ایجاد خواهد شد.
رفتار مخرب مربوط به این برنامهها، که عموما ساختاری یکسان و تکراری دارند را میتوان به سه دسته تقسیم کرد:
* استفاده از سرویسهای تبلیغاتی، علاوه بر سرویسهای تبلیغاتی موجود روی برنامه اصلی
* دانلود و نصب برنامههای دیگر (بدافزار یا برنامههای دارای سرویسهای ارزش افزوده)
* جاسوسی و ارسال اطلاعات کاربر به مهاجم.
در این گزارش آمده است که پس از بررسیهای مرکز ماهر، کافه بازار تمام بازیهای متخلف را حذف کرده است.
سامسونگ در مقابل مارکتهای ایرانی
اسفند سال گذشته مدیران سامسونگ با سازمان فناوری اطلاعات برای تغییر یک بند در شرایط گارانتی این شرکت به توافق رسیدند. ماجرا این بود که یکی از شرایط گارانتی گوشیهای سامسونگ در ایران، ظاهرا مشکلاتی برای برخی مصرفکنندگان این گوشی ایجاد میکرد. این شرکت چندین بند را به عنوان مواردی که گوشی را از گارانتی خارج میکند، در بخش ت گارانتی و قسمت «چه مواردی شامل گارانتی نمیشود؟» ذکر کرده بود که براساس یکی از آنها، نصب برخی برنامهها، از جمله بسیاری از برنامههای ایرانی، میتوانست گارانتی گوشی را به طور کل باطل کند. در این بند آمده بود: «خرابی ناشی از نصب هرگونه نرمافزار و برنامههای متفرقه که مورد تایید شرکت سامسونگ نباشد».
براساس اعلام مدیران سازمان فناوری اطلاعات، سامسونگ در دفاع از این بند گزارش 40 صفحهای مفصلی را ارایه کرده بود که این گزارش نشان میداد برنامههای مخربی در مارکتهای موبایلی ایرانی در دسترس قرار دارد و این برنامهها آسیب زیادی به گوشی میزنند. هرچند امین امیرشریفی مدیرعامل کافه بازار در واکنش به این گزارش صرفا با انتشاری یک توییت مدعی شد سامسونگ هیچ مدرکی مبنی بر این که اپلیکیشنها مقصر خرابی هستند به کاربران ارایه نمیکند.
چرا مارکتها اپلیکیشنها را بررسی نمیکنند؟
اکنون مهمترین سوال این است که چرا مارکتهای ایرانی از بررسی دقیق اپلیکیشنها پیش از انتشار خودداری میکنند؟
از یک سو عمده کاربران ایرانی هنوز از سواد کافی امنیت سایبری برخوردار نیستند. از سوی دیگر تحریمها، موقعیتی نسبتا انحصاری برای مارکتهای ایرانی به ویژه کافه بازار فراهم کرده و در نتیجه این مارکتها نیاز چندانی نمیبیندد که در خصوص اعتمادسازی و بررسی اپلیکیشنها هزینه زیادی کنند.
در نتیجه طبیعی است که ترجیح دهند هزینه لازم برای بررسی اپلیکیشنها را در جیب خود نگه دارند. تئوریهای بدبینانهتری نیز البته مطرح است که فعلا مدرکی برای اثبات آنها وجود ندارد و شاید در آینده بتوان درباره این موارد شفافتر نوشت.
منبع: فناوران
اشتراک گذاری در تلگرام
درباره این سایت