برنامه هواشناسی جاسوس از آب در آمد!

    کد خبر :90138

به تازگی یک کارشناسان امنیتی به موردی مشکوک حین استفاده از برنامه هواشناسی AccuWeather برخورد کرده است.

به گزارش  برنا ، برنامه هواشناسی AccuWeather پلتفرم iOS ظاهرا کاربران را فریب می‌دهد و ناقض شرایط استفاده از سرویس‌های اپل به عنوان یک برنامه مستقل توسعه‌یافته است. آقای ویل استرافاچ کارشناس امنیتی به تازگی موارد امنیتی و جاسوسی از این برنامه کشف کرده است.

اگر کاربر به برنامه هواشناسی AccuWeather مجوز دسترسی به اطلاعات مکان و موقعیت (Location Info) را ندهد، این برنامه هواشناسی محبوب کماکان اطلاعات شبکه WiFi کاربر مانند نام روتر و BSSID را به یک شرکت شخص ثالث به نام Reveal Mobile ارسال می‌کند. علاوه بر این، برنامه می‌تواند حتی در زمانی که برنامه باز نیست و شما از آن هیچ استفاده‌ای نمی‌کنید، کاربر قابل ردیابی و پیگیری است.

ویل استرافاچ را بسیاری به عنوان یکی از برنامه‌نویسان و توسعه‌دهندگان اصلی جیلبریک iOS می‌شناسند. او در پروژه تحقیقی بعدی خود به یک مسئله امنیتی جداگانه در برنامه AccuWeather نسخه iOS پرداخته است. در طول آزمایش تحقیقاتی خود و با نصب یک SDK شخص ثالث بر روی AccuWeather، او کشف کرد که برنامه هواشناسی AccuWeather شانزده بار اطلاعات را به شرکت Reveal Mobile ارسال کرده است.

بر اساس گزارشات روابط عمومی خود شرکت AccuWeather، این فرایند به عنوان یک روش کارآمد برای کمک به ناشران برنامه و شرکت های رسانه ای به کار گرفته می‌شود چرا که می‌توانند حداکثر مقدار را از داده های موقعیت مکانی آنها استخراج کنند. ویل در یاداشت‌های خود می‌نویسد این کار می‌تواند پول زیادی را برای شرکت‌های Reveal Mobile و AccuWeather تولید کند.

ویل در حساب کاربری و شخصی توییتر خود این گونه توییت زده است:

ارزش اطلاعات شخصی شما (اطلاعات GPS و WiFi) برای بعضی از توسعه‌دهندگان نرم‌افزاری iOS بسیار مهم است.

علاوه بر این، استرافاچ بر این باور است که SDK شرکت Reveal Mobile می‌تواند داده های موقعیت مکانی کاربر را از طریق فعالسازی بلوتوث (Bluetooth Beacons) جمع‌آوری کند. بر طبق توضیحات شرکت Reveal Mobile درباره محصول خودش، هنگامی که شما در نزدیکی یکی هستید، این محصول می‌تواند مکان شما را پیدا کند و اطلاعات را به اطلاعاتی که می تواند فروش دهد تبدیل کند.

این محصول زمانی که کاربر برنامه را باز و اجرا می‌کند فعالیتش را شروع می‌کند. نحوه تشخیص و شناسایی فعالسازی بلوتوث زمانی رخ می‌دهد که برنامه در حال استفاده نباشد. با استفاده از این فرایند شرکت Reveal Mobile موقعیت‌های مکانی وسیع‌تر و دقیق‌تری را می‌سازد.

بدیهی است حتی زمانی که کاربران از برنامه AccuWeather خارج می‌شوند و از آن استفاده‌ای نمی‌کنند شرکت می‌تواند با استفاده از جمع‌آوری اطلاعات و داده‌های شخصی، درآمد بیشتر کسب کند. در ادامه ویل استرافاچ یادآور می‌شود این فرایند ناقض قرارداد شرکت اپل با توسعه‌دهنده است و در واقع حقوق مصرف‌کننده را زیر پا می‌گذارد.

گر چه جمع‌آوری شناسه‌های BSSID و نام روتر کاربران ممکن است به نظر بی خطر باشد. کمیسیون تجارت فدرال (FTC) در حال تجزیه و تحلیل و بررسی شرکتی به نام InMobi در همین موضوع است. کمیسیون تجارت فدرال پس از بررسی‌های خود طی بیانیه‌ای اعلام کرد که شرکت InMobi با جمع آوری BSSID (یک شناسه منحصر به فرد) از شبکه های WiFi که یک دستگاه مصرف کننده به آن متصل است یا در محدوده آن قرار دارد و تغذیه این اطلاعات در پایگاه داده Geocoder ضمن اینکه به درآمد خوبی دست پیدا می‌کند، پس از آن می تواند مکان مصرف کننده را بیابد.

Basic Service Set Identification یا همان BSSID در واقع همان Mac آدرس Access point می‌باشد. Service Set Identification یا SSID میتواند از ۰ تا ۳۲ اکتت تشکیل شود Access point ها با انتشار این نام خود را بصورت عمومی معرفی و قابل شناسایی می‌کنند. در مباحث امینت شبکه با استفاده از تکنیک Network Cloaking که مخفی کردن Service Set Identification از انتشار عمومی است برای تحکیم امنیت شبکه مورد استفاده قرار میگیرد که امروزه براحتی این نیز قابل کشف و مشاهده می‌باشد.

در توییتر، یکی از کاربران این سوال را پرسیده بود که چه کسی می‌گوید برنامه‌ها کاربران را ردیابی می‌کند؟ استرافاچ در پاسخ به این سوال گفته است که اکثر برنامه‌هایی که بدون دریافت مجوز کاربر به جمع‌آوری اطلاعات و داده‌های شخصی می‌پردازند در پلتفرم iOS اپل هستند چرا که ردیابی کاربران و جمع‌آوری چنین اطلاعاتی در اندروید امکان پذیر نیست دلیل آن هم این است که در حال حاضر گوگل از نظر احتمال استفاده از WiFi برای سوءاستفاده‌کنندگان آگاه است. از زمان انتشار نسخه ۶٫۰ (Marshmallow) اندروید، برنامه های کاربردی باید قبل از دسترسی به BSSID شبکه، مجوز کاربر را دریافت کنند. چنین سیستمی در برنامه‌های پلتفرم iOS شرکت اپل وجود ندارد.

شرکت اپل در به روز رسانی جدید سیستم عامل iOS و نسخه جدید آن یعنی iOS 11 باید امنیت بیشتری برای کاربران حین استفاده از برنامه‌های کاربردی Third Party (برنامه‌های شرکت‌های شخص ثالث) فراهم کند. با انتشار این خبر، بدون شک شرکت اپل واکنش‌های ضد و نقیضی را خواهد داشت که در آینده مشخص خواهد شد.

0
نظرات
نشانی ایمیل شما منتشر نخواهد شد نظرات حاوی الفاظ و ادبیات نامناسب، تهمت و افترا منتشر نخواهد شد

دیدگاهتان را بنویسید