کم‌و‌کاستی‌های آندروید خود را جبران کنید!

کارشناسان معتقدند وجود یک نقص امنیتی در تلفن‌های همراه هوشمند مجهز به سیستم‌عامل آندروید می‌تواند باعث نفوذ هکرها در فهرست تماس‌ها، تقویم و داده‌های تلفن شود.

به گزارش پی‌سی‌وورلد، چندین برنامه تحت سیستم‌عامل آندروید گوگل برای صدور اجازه انتقال داده‌های حساس به سرویس‌های تحت وب، از روشی به نام «ورود مشتری» (ClientLogin) استفاده می‌کنند. ClientLogin با استفاده از علامت‌های رمزی مجاز، نام کاربری و رمز عبور را از طریق یک ارتباط امنیتی https به یک سرویس تحت وب، مثل سالنامه گوگل یا ارتباط‌های تطبیق‌داده شده، اعلام می‌کند.

به گفته محققان دانشگاه ULM، مشکل زمانی اتفاق می‌افتد که علامت رمزی معتبر است و بازگشت داده می‌شود. به این ترتیب می‌تواند بیش از یک تا دو هفته در درخواست‌های ارتباط‌های نا‌ایمن http باقی بماند و در مقابل دزدی یک هکر از طریق شبکه وای‌فای آسیب‌پذیر می‌شود.

چه خطراتی؟

ممکن است یک هکر از علامت‌های رمزی دزدیده شده برای دسترسی به تقویم، فهرست ارتباط‌ها یا تصاویر پیکاسا استفاده کند. حتی ممکن است اطلاعات بین این سرویس‌ها را دزدیده یا تغییر دهد. حتی ممکن است پای جاسوسی یا کمین‌گذاری‌های شخصی در میان باشد.

چه کسی در خطر است؟

این موضوع مربوط به تمام نسخه‌های پیش از 2.3.4 آندروید برای مخاطبان و تقویم، و نیز شامل نسخه‌های 2.3.4 برای آلبوم‌های تحت وب پیکاسا می‌شود. محققان می‌گویند این مشکل به 99.7 درصد گوشی‌های آندروید مربوط می‌شود، که البته این آمار کاملا دقیق نیست چراکه داده‌هایی که کارشناسان استفاده می‌کنند، فقط شامل کاربرانی است که اخیرا به بازار آندروید دست یافته‌اند. با این حال با اطمینان می‌توان گفت که بیشتر گوشی‌های آندروید در معرض خطرند.

حتمال حمله چقدر است؟

پیش‌بینی این موضوع سخت است. وقوع حمله مستلزم این است که کاربر و هکر هر دو روی یک شبکه وای‌فای مشترک باشند.

پژوهشگران احتمال شبکه‌های دوقلوی زیان‌آور (evil twin networks) را این‌طور توصیف می‌کنند که از نقاط دستیابی به شبکه‌های مشهور وای‌فای کلاه‌برداری می‌کند، مثل Starbucks، اما بیشتر احتمال دارد که تهدیدها از طریق شبکه‌های معمولی و نا‌ایمن وای‌فای اعمال شود.

حتی بعد از دستیابی به شبکه وای‌فای مشترک، لازم است که هکر برای دزدیدن اطلاعات در فاصله‌ای نزدیک حضور داشته باشد؛مثل ابزار هک چندگانه فایرشیپ (Firesheep) که سال گذشته باعث به راه افتادن یک موج شد. فکر کردن به این موضوع وحشتناک است، اما احتمال هک شدن برای کاربران عادی چندان محتمل نیست.

چه باید کرد؟

بهترین راه، چسبیدن به شبکه‌های ایمن وای‌فای است. در تنظیمات آندروید، شما می‌توانید همگام‌سازی خودکار (automatic synchronization) را هنگام اتصال به یک شبکه باز وای‌فای خاموش کنید.

به روز کردن آندروید به نسخه‌های 2.3.4 بیشتر مشکلات را حل خواهد کرد؛ البته اطلاعات پیکاسا همچنان آسیب‌پذیر خواهد بود اما این موضوع به طور کلی در دست اپراتورهای بی‌سیم و سازندگان گوشی خواهد بود.

گوگل باید فکری کند؟

محققان توصیه‌های زیادی برای گوگل دارند از جمله این‌که تمام برنامه‌ها و سرویس‌های همگام‌سازی، مثل سالنامه گوگل و مخاطبان که در آندروید 2.3.4 انجام شده، به https تغییر مسیر دهند. همچنین آن‌ها توصیه می‌کنند که گوگل به سرویس ایمن‌تری، مثل OAuth تغییر مسیر دهد که عمر سندیت رمزها را محدود می‌کند، درخواست ورود کاربرانی را که از ارتباط‌های http استفاده کرده‌اند، محدود کرده و راهی برای محدود کردن خودکار ارتباط وای‌فای و محافظت از شبکه‌ها ایجاد می‌کند.