جمعآوری دادههای خصوصی، اپلیکیشنهای موبایل را به هدفی وسوسهانگیز برای هکرها تبدیل کرده است
جمعآوری دادههای خصوصی، اپلیکیشنهای موبایل را به هدفی وسوسهانگیز برای هکرها تبدیل کرده است
طبق بررسیهای پایگاه آماری Exploding Topics، در سیستم عامل iOS، حدود ۸۲/۷۸ درصد از اپلیکیشنها – یعنی نزدیک به یکمیلیون و ۵۵۰ هزار مورد – دادههای شخصی کاربران را ردیابی میکنند.
به گزارش نیوزلن و به نقل از سایتکدیلی، این اپلیکیشنها همچنین نقاط ضعف آشکاری برای مجرمان سایبری به شمار میروند. مسیرهای نامرئی ورود و خروج اطلاعات – نظیر تماسهای API، همگامسازیهای پسزمینه و اعلانهای فشاری – میتوانند پیش از آنکه ابزارهای امنیتی سنتی متوجه شوند، مورد نفوذ قرار گیرند.
ستیش سوارگام (کارشناس ارشد امنیت در شرکت Black Duck Software) توضیح میدهد: «کاربر موبایل هنگام نصب اپلیکیشنها مجوزهایی را به آنها میدهد. اغلب کاربران با دقت کافی این مجوزها را اعمال نمیکنند و در نتیجه، دسترسی گستردهای به اپلیکیشنها میدهند که توسط برنامههای مخرب مورد سوءاستفاده قرار میگیرد.»
از سوی دیگر، ابزارهای سنتی اغلب تا زمانی که خیلی دیر شده رفتارهای مشکوک را شناسایی نمیکنند. امروزه حملات مبتنی بر هوش مصنوعی میتوانند احراز هویت چندمرحلهای را دور بزنند، آسیبپذیریهای حافظه را شناسایی کرده و در لحظه تراکنشها را ربوده یا تغییر دهند.
تام تووار (مدیرعامل Appdome، سازنده پلتفرم امنیتی برای توسعهدهندگان اپلیکیشنهای موبایل در کالیفرنیا) میگوید: «هوش مصنوعی تمام چشمانداز حفاظت از کاربران و تراکنشهای موبایل را متحول کرده است. این فناوری، تولید حملات را برای مجرمان بسیار آسان کرده است.»
وی میافزاید: «ما اکنون شاهد نوعی رنسانس تاریک در عرصه استفاده از هوش مصنوعی برای ساخت و گسترش حملات هستیم. اگر در حوزهٔ دفاع فعالیت میکنید، زمان جذابی است؛ اما برای کاربر عادی، بسیار نگرانکننده است.»
کریس هیلز (استراتژیست ارشد امنیتی در BeyondTrust) نیز هشدار میدهد: «هوش مصنوعی آموزشدیده برای اهداف مخرب میتواند در زمانی بسیار کوتاهتر از انسان، آسیبپذیریها را شناسایی و بهرهبرداری کند. به همین دلیل است که مهار این فناوری در مسیر مثبت، اهمیت حیاتی دارد.»
طراحی فاقد امنیت ذاتی
اپلیکیشنهای موبایل نهتنها همهجا هستند، بلکه اطلاعات بسیار ارزشمندی نیز دارند. تی. فرانک داونز (مدیر خدمات پیشگیرانه در شرکت BlueVoyant) میگوید: «به تمام اطلاعاتی که اپلیکیشنها به آن دسترسی دارند فکر کنید – از موقعیت مکانی و مخاطبان گرفته تا جزئیات مالی. دنیای موبایل، دنیایی پر از پتانسیل برای برداشت داده است.»
کریس وینگفیلد (معاون نوآوری در ۳۶۰Privacy) نیز بر این نکته تأکید میکند که بسیاری از اپلیکیشنها اصلاً برای امنیت طراحی نشدهاند. او توضیح میدهد: «اپلیکیشنها دائماً اطلاعاتی مانند شناسه نصب، دادههای متا از کیتهای تبلیغاتی و پویشهای تحلیلی را منتشر میکنند که شامل موقعیت مکانی و امکان شناسایی دستگاه است.
مهاجمان برای نفوذ نیازی به دسترسی ریشهای ندارند؛ آنها فقط به این دادههای جانبی نیاز دارند که به صورت بیصدا و در مقیاسی گسترده منتشر میشوند.»
توار معتقد است مدل امنیتی حاکم بر اپلیکیشنهای موبایل بیشتر برای پاسخگویی به الزامات قانونی ساخته شده، نه برای مقابله با کلاهبرداری یا تصاحب حسابها. وی هشدار میدهد: «اگر تراکنشها به سمت اپلیکیشنهای محافظتنشده سوق پیدا کند، فرصت طلایی برای مجرمان فراهم میشود.»
ضعف در محافظت از فعالیتهای داخل اپلیکیشن
بسیاری از سازمانها هنوز بیشتر بر محافظت از بخش پشتی (backend) تمرکز دارند و از امنیت سمت کاربر (endpoint) غافل هستند. کرن اسمیت (معاون راهکارهای جهانی در شرکت امنیتی Zimperium) میگوید: «بسیاری از طرحهای فعلی بر آنالیزهای پشتی یا سیگنالهای رفتاری تمرکز دارند، اما تهدیداتی که مستقیماً درون دستگاه یا خود اپلیکیشن رخ میدهند را شناسایی نمیکنند.»
به گفتهٔ داونز، حتی اگر آنالیز رفتار کاربر و محافظت سمت سرور ضروری باشد، باز هم نمیتوان از آسیبپذیریهای درون اپلیکیشن – مانند منطق برنامه، ذخیرهسازی داده و شیوههای ارتباطی – چشمپوشی کرد.
وینگفیلد نیز تأکید میکند که فرضیهٔ «تهدید از سمت رمز عبور» دیگر کارآمد نیست. او میگوید: «امروزه هدف، اطلاعات متادیتا است؛ از موقعیت مکانی و مدل دستگاه تا رخدادهای حرکتی. این دادهها رمزنگارینشده، بررسینشده و بیسروصدا اپلیکیشن را ترک میکنند.»
