نقص امنیتی در Secure Folder گوشی‌های سامسونگ؛ ماجرا چیست؟

پوشه امن سامسونگ (Secure Folder)، قابلیتی که برای حفظ حریم خصوصی و نگه‌داری امن فایل‌ها و برنامه‌های شخصی استفاده می‌شود، اخیراً با نقص‌های امنیتی جدی روبه‌رو شده است. برخلاف تصور اولیه مبنی‌بر امنیت کامل این فضا، کاربری در ردیت نشان داد که در شرایط خاصی، دسترسی به محتویات این پوشه، مخصوصا تصاویر و ویدئوها، برای افراد غیرمجاز امکان‌پذیر می‌شود.

معمولاً برنامه‌هایی که در پروفایل اصلی گوشی سامسونگ اجرا می‌شوند، نمی‌توانند به محتوای پوشه امن دسترسی پیدا کنند. باوجوداین، کاربری با نام lawyerz88 در ردیت مشخص کرد که برنامه‌های اجراشده در «پروفایل کاری» به‌راحتی می‌توانند این محدودیت را دور بزنند. 

کاربر ردیت به‌طور مشخص بیان کرد با نصب برنامه‌هایی مانند Shelter که امکان ایجاد پروفایل کاری را فراهم می‌کنند، هر شخصی که دسترسی فیزیکی به گوشی شما داشته باشد، خواهد توانست تصاویر و ویدئوهای خصوصی شما را مشاهده کند.

مشکل مطرح‌شده از آنجا نشئت می‌گیرد که سیستم انتخابگر عکس اندروید پوشه امن را به‌عنوان پروفایل کاری معمولی تشخیص می‌دهد و محدودیت‌های دسترسی را به‌درستی اعمال نمی‌کند. برای رفع این مشکل خاص، توصیه می‌کنیم که کاربران، پوشه امن خود را رمزگذاری کنند؛ قابلیتی که البته به‌صورت پیش‌فرض فعال نیست؛ اما می‌تواند ازطریق تنظیمات پوشه امن آن را فعال کرد.

Android Authority نقص امنیتی دیگری نیز کشف کرده که مربوط به افشای لیست برنامه‌های نصب‌شده در پوشه امن می‌شود. این نقص حتی درصورت رمزگذاری پوشه امن، نام برنامه‌های نصب‌شده در آن را از‌طریق بخش مدیریت مجوزهای اندروید نمایش می‌دهد. با مراجعه به بخش «تنظیمات > امنیت و حریم خصوصی > مدیریت مجوزها و انتخاب مجوزی مانند مکان»، لیست برنامه‌هایی نمایش داده می‌شود که شامل برنامه‌های پوشه امن نیز خواهد بود.

متأسفانه در‌حال‌حاضر راهکاری برای جلوگیری از نقص امنیتی پوشه‌ی امن سامسونگ وجود ندارد و تنها استثنا در این میان، مجوز اعلان‌ها است که به‌دلیل مدیریت متفاوت در سیستم سامسونگ، اطلاعاتی از برنامه‌های پوشه امن را نمایش نمی‌دهد.

ریشه آسیب‌پذیری‌های مطرح‌شده به معماری فنی پوشه امن سامسونگ برمی‌گردد. سامسونگ از نوع کاربری پروفایل کاری برای پیاده‌سازی پوشه امن استفاده کرده است. به همین دلیل، بخش‌های اصلی سیستم‌عامل اندروید مانند انتخابگر عکس و مدیریت مجوزها که گوگل توسعه داده است، پوشه امن را نیز پروفایل کاری عادی (android.os.usertype.profile.MANAGED) تلقی می‌کنند. 

ازآنجاکه سامسونگ کنترل محدودی بر بخش‌های اصلی سیستم‌عامل اندروید دارد، نمی‌تواند رفتارهای پیش‌فرض آن‌ها را تغییر دهد و از افشای اطلاعات پوشه امن جلوگیری کند. این در حالی است که گوگل در اندروید ۱۵ و قابلیت «فضای خصوصی» خود، نوع کاربری جدیدی (android.os.usertype.profile.PRIVATE) را تعریف کرده است که از بروز این مشکلات امنیتی جلوگیری می‌کند.

به‌طور تئوری، سامسونگ می‌تواند با تغییر نوع کاربری پوشه امن خود، نقص‌های مطرح‌شده را برطرف کند؛ اما انجام این کار احتمالاً پیچیده و زمان‌بر خواهد بود و در‌حال‌حاضر، کاربران گوشی سامسونگ باید از این مسائل امنیتی آگاه باشند و برای حفظ حریم خصوصی خود، به‌ویژه درباره تصاویر و ویدئوها، حتماً از قابلیت رمزگذاری پوشه امن استفاده کنند. این درحالی است نقص افشای لیست برنامه‌ها، حتی با رمزگذاری نیز همچنان پابرجا خواهد بود و فعلاً راهکار قطعی برای آن وجود ندارد.