کدهای قدیمی اپلیکیشن ها داده های کاربر را به تاراج می برند

در این سالیان و از زمانی که برای نخستین بار سیستم عامل اندروید را بر پیکره ابزارهای همراه دیدیم، موضوع امنیت بخشی جدایی ناپذیر از بحث های پیرامون آن بوده است. البته این طبیعت ذاتی هر برنامه ای است که توسط انسان نوشته می شود و فقط به اندروید محدود نبوده و شامل حال iOS، ویندوزفون و مانند آن هم می شود. اما همیشه گیر کار در سیستم عامل نیست و بسیاری مواقع این برنامه های کاربردی هستند که شکاف امنیتی را ایجاد می کنند. به تازگی مطالعه جالبی توسط شرکت امنیتی Codenomicon (همان شرکتی که موفق به کشف حفره امنیتی Heartbleed شد) صورت گرفته است که نشان می دهد متاسفانه بسیاری از اپلیکیشن های برتر گوگل پلی استور آنقدرها هم که به نظر می رسد امن نیستند. پس از بررسی 50 اپلیکیشن برتر گوگل پلی استور توسط این شرکت، مشخص شد که بیشتر آنها اهمیتی به تنظیمات صورت گرفته توسط کاربر نمی دهند!

برای مثال، یکی از هر ده اپلیکیشن اقدام به ارسال کد IMEI و یا موقعیت مکانی کاربر می کند در حالی که ده درصد آنها به بیش از 2 شبکه تبلیغاتی برای سرازیر نمودن تبلیغات به درون خود متصل هستند. همینطور نزدیک به نیمی از برنامه های بررسی شده ID کاربر را به شبکه های تبلیغاتی ارسال می کنند. شرایط عجیبی است، نه؟! از تمام اینها که بگذریم به مشکل اصلی می رسیم. بسیاری از اپلیکیشن های بررسی شده به عنوان بخشی از برنامه از مجموعه کدهای (Library) قدیمی استفاده می کنند، کدهایی که حاوی بلوک هایی از کدهای مشکل ساز بوده که به راحتی می شود از آنها سوءاستفاده نمود. برای بسیاری از توسعه دهندگان (سازندگان اپلیکیشن) بکارگیری این کتابخانه ها امری طبیعی است چون ادامه یک مسیر از ساخت مجدد آن خیلی راحت تر است. از طرفی ممکن است برخی توسعه دهندگان به عمد این کد ها را تغییر نداده باشند تا بتوانند با فروش اطلاعات بدست آمده از آنها کسب درآمد کنند. مساله بغرنج دیگر افراد یا سازمان هایی هستند که اپلیکیشن آنها در قالب سفارش و توسط مجموعه ای دیگر تولید می شود، اپلیکیشن هایی که ممکن است بسیاری از نقص های عنوان شده را دارا باشند. نکته جالب اینجاست که بسیاری از این حفره ها توسط sandbox (محیط ایزوله ای که برنامه در آن اجرا شده و رفتار آن کاملا زیر نظر گرفته می شود) قابل تشخیص هستند و گوگل می تواند خود به بررسی آنها بپردازد، اما زمانی که حجم برنامه های درون پلی استور به همراه آپدیت های ریز و درشت آنها را در نظر می آوریم، این کار چندان هم ساده نخواهد بود. اینجاست که اپلیکیشن های ضد بدافزار (anti-malware) و دیگر برنامه های امنیتی آنقدرها هم بدرد نخور به نظر نمی رسند!