شرکت امنیتی Zimperium مستقر در دالاس متوجه شده است که بیش از 18000 برنامه اندروید و iOS اطلاعات شخصی حساس کاربران خود را از طریق سرورهای ابری که به طور نادرست ایمن شدهاند درز میدهند.
اطلاعات شخصی درز شده شامل نتایج آزمایش پزشکی، اطلاعات بانکی آنلاین در وبسایتهای خرید، عکسهای کاربر، نام کاربری، نام واقعی، شماره تلفن، آدرس ایمیل و آدرس خیابان است. جزئیات تنظیمات سرور، سیستمهای پرداخت آنلاین، سیستمهای حمل و نقل فرودگاه، کلیدهای رمزگذاری و حتی چکهای خالی بانک نیز در معرض دید قرار گرفتهاند.
اطلاعات شخصی توسط برنامههای معروف به راحتی نشت کردهاند
“چیلیک تمیر” از Zimperium در گزارشی که روز پنجشنبه (4 مارس) منتشر شد نوشت: “تجزیه و تحلیل ما تعدادی از موارد مهم را نشان داد که PII [اطلاعات قابل شناسایی شخصی، به عنوان مثال دادههای حساس] را در معرض دید و یا کلاهبرداری قرار میدهد و یا IP و یا سیستمهای داخلی و پیکربندیها را در معرض نمایش قرار میدهد.”
با چیزی غیر از یک مرورگر و ابزارهای خط فرمان، هر کسی که میداند باید کجا را جستجو کند بدون نیاز به حدس زدن رمز عبور میتواند به این دادههای در معرض دید و اطلاعات شخصی دسترسی پیدا کند. به همین دلیل Zimperium در این جا هیچ اسمی ذکر نمیکند اما این گزارش میگوید که در میان طرفهای مقصر “برنامه اصلی بازی”، “برنامههای رسانههای اجتماعی”، “کیف پول موبایل Fortune 500″، “خرده فروش عمده آنلاین” و همچنین” یک سرویس اصلی موسیقی ” وجود دارد.
مدیر شركت Zimperium، شریدهار میتال گفت: “این یك روند ناراحتكننده است. “اکثر ما در حال حاضر برخی از این برنامهها را داریم.”
فراموش کردن قفل نمودن در
بسیاری از برنامههای گوشیهای هوشمند به پایگاه دادههای ابری برای نگهداری دادههای کاربر اعتماد میکنند. خواه در حال پخش Netflix باشید، در حال بررسی شبکههای اجتماعی یا ایمیل و یا در حال انجام یک بازی چند نفره، برنامه مورد استفاده شما فقط بخش Front end (بخش جلویی) مخزن آنلاین بزرگ سرور است که اغلب از آمازون، گوگل و یا مایکروسافت اجاره داده میشود.
با این وجود آمازون، گوگل و یا مایکروسافت اطمینان حاصل میکنند که هر یک از مشتریان رایانش ابری خود به درستی پایگاه دادههای خود را ایمن کردهاند. انجام این کار به عهده مشتری است و بسیاری از آنها این کار را به درستی انجام نمیدهند. آنها مانند کسی هستند که در ویترین فروشگاه بوتیک را باز میکنند در حالی که فراموش میکنند درب عقب را در کوچه قفل کنند.
در گزارش Zimperium آمده است: “روند ایمنسازی این محفظههای ابری که توسط برنامههای گوشی همراه مورد استفاده قرار میگیرد، توسط توسعهدهندگان برنامه نادیده گرفته میشود در حالی که تأثیر یک سرور ابری با تنظیمات اشتباه بر روی توسعهدهنده برنامه، تجارت و کاربران آنها میتواند بسیار زیاد باشد.”
اطلاعات شخصی کمتری از خود منتشر کنید
محققان Zimperium تعداد 1.3 میلیون برنامه تلفنهای هوشمند را مورد تجزیه و تحلیل قرار دادند و حدود 130000 مورد را یافتند كه از سرورهای اجارهای برای تأمین انرژی قسمتهای Back end خود استفاده میكنند.
در گزارش Zimperium از این برنامهها، حدود 14٪ یعنی تقریباً 12000 برنامه اندرویدی و بیش از 6500 برنامه iOS “از تنظیمات ناامن برخوردار بوده و در برابر خطرات توصیف شده در این پست و نشت اطلاعات شخصی آسیبپذیر هستند.”
رییس Zimperium میگوید شركت وی در تلاش بوده است تا با مالكین برنامهها و توسعهدهندگان تماس بگیرد تا ایراد را به آنها اعلام كند اما این کار اغلب با پاسخی کوتاه همراه بوده و یا یا هیچ پاسخی نمیدهند.
متأسفانه بدون دانستن این که کدام برنامهها رفتار خطرناکی دارند کاربر نمیتواند اقدامی خاص برای محافظت در برابر نشت اطلاعات حساس انجام دهد. تنها کاری که میتوانید انجام دهید این است که سعی کنید اطلاعات شخصی مربوط به خود را که به صورت آنلاین قرار میدهید محدود کنید. اگرچه این کار اغلب با توجه به میزان اطلاعات دریافتی توسط برنامههای داده و وبسایتها (بدون اجازه شما) یک جنگ غیرممکن است.