به گزارش دویچه وله، حفره امنیتی سیستم عامل اندروید که در روزهای اخیر خبرساز شده راه هکرها به دستگاه را باز میکند، بدون آنکه فروشگاه اپلیکیشن (اپاستور) کاربر یا خود دستگاه متوجه این موضوع شوند.
اگر این اتفاق بیافتد، بدافزار هر کاری که بخواهد با دستگاه میکند؛ دزدی اطلاعات، نظارت و کنترل بر اپها، ارسال اساماس، برقراری ارتباط تلفنی، کنترل دوربین و میکروفن یا دستاندازی به پسووردهای ذخیرهشده.
نقطه ضعف کجاست؟
بنا بر اعلام "بلولاکس"، شرکتی که این حفره امنیتی را کشف کرده، نقطه ضعف یادشده به تأیید دیجیتال اپلیکیشنها مربوط است. اپلیکیشنهای اندروید موجود در اپاستورها امضای دیجیتال دارند. اندروید از این امضا برای تأیید سلامت یک اپلیکیشن استفاده میکند.
اما نقطه ضعفی که بلوباکس از آن پرده برداشته این امکان را به هکرها میدهد که محتوی اپلیکیشنها را تغییر دهند، بدون آنکه به امضای دیجیتال دست بزنند.
بدین ترتیب اپلیکیشن تغییرداده شده برای دستگاه برنامهای عادی و سالم با مهر دیجیتال مورد تأیید به نظر میرسد.
گوگل از ماه فوریه در جریان امر قرار گرفته و مشکل را به اطلاع شرکتهای سختافزاری همکار خود هم رسانده است. این شرکتها ظاهرا روی آپدیتهایی کار میکنند که قرار است در اسرع وقت منتشر شوند.
مشکل اما اینجاست که برخی از نسخههای اندروید که در سالهای اخیر از سوی بعضی از تولیدکنندگان روی دستگاهها نصب شدهاند، مشکلات امنیتی دیگری دارند که کار را دشوار میکنند. حتی اخباری منتشر شده است در این مورد که آپدیت امنیتی برای بسیاری از دستگاهها منتشر نخواهد شد.
راههای مقابله
بستن کامل این حفره امنیتی کار سادهای نیست و تا کنون هم راه حل جامعی برای آن ارائه نشده است. آپدیت یادشده از قرار معلوم مطمئنترین مسیر است. اما با توجه به شمار دستگاههای موجود و تنوع تولیدکنندگان، انتشار آپدیت ممکن است زمان زیادی به طول انجامد.
منابع رسمی دانلود اپلیکیشن امکان به دامافتادن کاربران را کاهش میدهند منابع رسمی دانلود اپلیکیشن امکان به دامافتادن کاربران را کاهش میدهند
در این میان میتوان چند کار ساده انجام داد. کاربران بهتر است از منابع "غیررسمی" دانلود اپلیکیشن چشم بپوشند و به اپاستورهایی مانند "گوگلپلی" یا آمازون قناعت کنند. برنامهنویسان اپلیکیشنهای خود را در این اپاستورها منتشر میکنند و هکرها برای انتشار بدافزارها باید حساب کاربری برنامهنویسان را هک کنند؛ امری که البته غیرممکن نیست اما دشواریهای خاص خود را دارد.
کاربران بهتر است در انتخاب اپلیکیشنهایی که با شرایط یا تخفیفهای غیرعادی به فروش میرسند هم حساسیت بیشتری به خرج دهند.
نرمافزارهای امنیتی اندروید هم میتوانند بدافزارهای مخفی در اپلیکیشنها را کشف یا دستکم رفتار مشکوک یک اپ را فاش کنند. برای دستیابی به یک نرمافزار امنیتی کارآمد لزوما نیازی به پرداخت پول نیست. شرکتهای پرسابقه در امر امنیت سایبری محصولات رایگان خود را هم در اپاستورهای رسمی عرضه کردهاند.