آیا سیستم مجوز دهی اندروید از لحاظ امنیتی مطمئن هست؟

یکی از سیاستهای امنیتی که در ساختار اندروید بکار رفته این است که هر برنامه جدیدی که کاربر میخواهد بر روی این سیستم عامل نصب کند، قبل از نصب به کاربر هشدارمیدهد که این برنامه به چه بخشهایی از سیستم دسترسی خواهد داشت. مثلا آیا به شبکه دسترسی خواهد داشت یا نه، یا اینکه آیا به شماره تلفنهای ذخیره شده روی تلفن دسترسی خواهد داشت یا خیر. کاربر با کنترل این دسترسی ها، به ماهیت نرم افزار پی خواهد برد. مثلا اگر کاربر میخواهد نرم افزار ماشین حساب نصب کند، قطعا این نرم افزار نیازی به دسترسی به اینترنت یا شماره تلفنهای صاحب تلفن ندارد.اگر این نرم افزار مجوز دسترسی به اینترنت و شماره تلفنها را میخواهد، باید به این نرم افزار شک کرد.
جدا از اینکه ممکن است کاربران اصلا به این هشدارهای اندروید توجه نکنند، اگر کاربری اهمیت داد و به مجوزهای خواسته شده نرم افزار دقت کرد، آیا این مجوزها تضمین امن بودن نرم افزار را میدهد؟
با این توضیحات، اخیرا شرکت viaForensic موردی را نشان میدهد که نرم افزاری هیچ مجوزی نمیخواهد ولی عملا به اینترنت وصل میشود و راه را برای دسترسی و کنترل تلفن از راه دور را میدهد. این نشان میدهد که این سیستم مجوز دهی خیلی مطمئن نیست.
نحوه کار این نرم افزار اینطور است که پس از نصب، از طریق مرورگر موجود روی اندروید، اجازه ارتباط از راه دور 2 طرفه را فراهم میکند. این نرم افزار از هیچ حفره امنیتی در اندروید استفاده نمیکند بلکه از امکانات مجاز خود اندروید هوشمندانه استفاده میکند. قضیه از این قرار است که اندروید به نرم افزارها اجازه استفاده از مرورگر و وصل شدن به شبکه را میدهد و نیز مرورگر هم میتواند به نرم افزار دستوراتی را منتقل کند. به این طریق مرورگر واسطه ای است بین بدافزار و خرابکار کنترل کننده تلفن از راه دور. یعنی بدافزار دستورات دسترسی به شبکه خود را به مرورگر میدهد و نیز کنترل کننده نیز دستورات خود را به مرورگر میدهد. یعنی بدافزار از مجوز دسترسی مرورگر استفاده میکند و خود نیازی به مجوز دسترسی به شبکه ندارد.
این ضعف قبلا هم تذکر داده شده بوده و شرکت viaForensic کشف جدیدی نکرده است بلکه یک مورد عملی استفاده از این ضعف را نشان میدهد. این ضعف در اندرویدهای نسخه 1.5 تا 4 وجود دارد.
جزییات بیشتر همراه فیلم در صفحه زیر نشان داده میشود.

http://viaforensics.com/security/nopermission-android-app-remote-shell.html

  1. بیان دیدگاه

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: