اشکال
امنیتی در سیستمهای عامل موبایلی ویندوز، اندروید و iOS میتواند موجب به
خطر افتادن اطلاعات شخصی و حریم خصوصی کاربران از جمله حسابهای جیمیل
آنها شود.
پژوهشگران کالج مهندسی دانشگاه ریورساید برنز کالیفرنیا و دانشگاه میشیگان اخیرا دریافتهاند
که یک ضعف امنیتی که به باور آنان در سیستمهای عامل موبایلی اندروید،
ویندوز و iOS وجود دارد میتواند به اپلیکیشنهای مخرب اجازه دهد تا به
اطلاعات شخصی کاربران دست بیابند.
البته به گزارش زددینت، پژوهشگران تنها یک دستگاه گوشی هوشمند اندرویدی را مورد آزمایش قرار دادهاند، اما آنها معتقدند که روش آنها در هر سه سیستم عامل اصلی موبایلی موجود میتواند جواب بدهد چون هر سه این سیستم عاملها یک قابلیت مشابه را به اپلیکیشنهای بارگذاری شده روی سیستم خود ارائه میدهند: همه اپلیکیشنها میتوانند به حافظه داخلی مشترک داخل دستگاه موبایلی دسترسی داشته باشند.
زیون کیان استاد دانشگاه ریورساید کالیفرنیا در این پیوند میگوید: «همیشه فرض بر این بوده است که این اپلیکیشنها نمیتوانند به آسانی با هم تداخلی داشته باشند، اما مطالعه ما نشان میدهد که این فرض نادرست است و هر اپلیکیشن میتواند به طرز قابل توجهی بر اپلیکیشن دیگر تاثیر بگذارد و در نتیجه حسب مورد اثرات زیانبار برای کاربر به دنبال داشته باشد.
برای نشان دادن روش حمله، کاربر باید نخست اپلیکیشنی همچون «تصاویر زمینه» که به نظر سالم میرسد را روی سیستم موبایلی خود (گوشی هوشمند یا تبلت) دانلود کند. البته این اپلیکیشن در واقع دارای کدهای آلوده و مخرب است. پس از نصب اپلیکیشن آلوده، پژوهشگران میتوانند از آن برای دسترسی به آمار و اطلاعات و دیگر فرآیندهای حافظه داخلی دسترسی استفاده کنند بدون آنکه به برنامه یا مجوز خاصی نیاز داشته باشند.
پژوهشگران سپس تغییرات در حافظه داخلی را تحت نظر گرفته و مانیتور میکنند و قادر به یافتن ارتباط بین تغییرات و فعالیتهای مختلف کاربر از قبیل ورود به حساب جیمیل، گرفتن عکس یک چک برای واریز کردن وجه آن به حساب بانکی کاربر هستند. در مورد حساب بانکی که مربوط به بانک چیس امریکا بود میزان موفقیت در زدن رد اطلاعات بالای ٨٢ درصد و در مورد حساب جیمیل درصد موفقیت تشخیص فعالیت کاربر ٩٢ درصد بود. با استفاده از برخی روشهای جانبی هم، پژوهشگران موفق شدند همزمان با انجام کارها توسط کاربر، تشخیص دهند او دقیقا چکار میکند.
به منظور انجام یک حمله موفق، دو چیز باید اتفاق بیفتد: نخست اینکه، مهاجم باید دقیقا همزمان با انجام فعالیت توسط کاربر، حاضر به ثبت اتفاقات بوده و مشغول فعالیت شود و دوم اینکه حمله به صورتی انجام شود که کاربر قربانی از آن بی خبر باشد. تیم تحقیقاتی پژوهشگران این دو شرط را تامین و موفقیت آمیز بودن روش خود را نشان دادهاند.
البته به گزارش زددینت، پژوهشگران تنها یک دستگاه گوشی هوشمند اندرویدی را مورد آزمایش قرار دادهاند، اما آنها معتقدند که روش آنها در هر سه سیستم عامل اصلی موبایلی موجود میتواند جواب بدهد چون هر سه این سیستم عاملها یک قابلیت مشابه را به اپلیکیشنهای بارگذاری شده روی سیستم خود ارائه میدهند: همه اپلیکیشنها میتوانند به حافظه داخلی مشترک داخل دستگاه موبایلی دسترسی داشته باشند.
زیون کیان استاد دانشگاه ریورساید کالیفرنیا در این پیوند میگوید: «همیشه فرض بر این بوده است که این اپلیکیشنها نمیتوانند به آسانی با هم تداخلی داشته باشند، اما مطالعه ما نشان میدهد که این فرض نادرست است و هر اپلیکیشن میتواند به طرز قابل توجهی بر اپلیکیشن دیگر تاثیر بگذارد و در نتیجه حسب مورد اثرات زیانبار برای کاربر به دنبال داشته باشد.
برای نشان دادن روش حمله، کاربر باید نخست اپلیکیشنی همچون «تصاویر زمینه» که به نظر سالم میرسد را روی سیستم موبایلی خود (گوشی هوشمند یا تبلت) دانلود کند. البته این اپلیکیشن در واقع دارای کدهای آلوده و مخرب است. پس از نصب اپلیکیشن آلوده، پژوهشگران میتوانند از آن برای دسترسی به آمار و اطلاعات و دیگر فرآیندهای حافظه داخلی دسترسی استفاده کنند بدون آنکه به برنامه یا مجوز خاصی نیاز داشته باشند.
پژوهشگران سپس تغییرات در حافظه داخلی را تحت نظر گرفته و مانیتور میکنند و قادر به یافتن ارتباط بین تغییرات و فعالیتهای مختلف کاربر از قبیل ورود به حساب جیمیل، گرفتن عکس یک چک برای واریز کردن وجه آن به حساب بانکی کاربر هستند. در مورد حساب بانکی که مربوط به بانک چیس امریکا بود میزان موفقیت در زدن رد اطلاعات بالای ٨٢ درصد و در مورد حساب جیمیل درصد موفقیت تشخیص فعالیت کاربر ٩٢ درصد بود. با استفاده از برخی روشهای جانبی هم، پژوهشگران موفق شدند همزمان با انجام کارها توسط کاربر، تشخیص دهند او دقیقا چکار میکند.
به منظور انجام یک حمله موفق، دو چیز باید اتفاق بیفتد: نخست اینکه، مهاجم باید دقیقا همزمان با انجام فعالیت توسط کاربر، حاضر به ثبت اتفاقات بوده و مشغول فعالیت شود و دوم اینکه حمله به صورتی انجام شود که کاربر قربانی از آن بی خبر باشد. تیم تحقیقاتی پژوهشگران این دو شرط را تامین و موفقیت آمیز بودن روش خود را نشان دادهاند.
هیچ نظری موجود نیست:
ارسال یک نظر