برنامه هواشناسی جاسوس از آب در آمد!
به تازگی یک کارشناسان امنیتی به موردی مشکوک حین استفاده از برنامه هواشناسی AccuWeather برخورد کرده است.
به گزارش برنا ، برنامه هواشناسی AccuWeather پلتفرم iOS ظاهرا کاربران را فریب میدهد و ناقض شرایط استفاده از سرویسهای اپل به عنوان یک برنامه مستقل توسعهیافته است. آقای ویل استرافاچ کارشناس امنیتی به تازگی موارد امنیتی و جاسوسی از این برنامه کشف کرده است.
اگر کاربر به برنامه هواشناسی AccuWeather مجوز دسترسی به اطلاعات مکان و موقعیت (Location Info) را ندهد، این برنامه هواشناسی محبوب کماکان اطلاعات شبکه WiFi کاربر مانند نام روتر و BSSID را به یک شرکت شخص ثالث به نام Reveal Mobile ارسال میکند. علاوه بر این، برنامه میتواند حتی در زمانی که برنامه باز نیست و شما از آن هیچ استفادهای نمیکنید، کاربر قابل ردیابی و پیگیری است.
ویل استرافاچ را بسیاری به عنوان یکی از برنامهنویسان و توسعهدهندگان اصلی جیلبریک iOS میشناسند. او در پروژه تحقیقی بعدی خود به یک مسئله امنیتی جداگانه در برنامه AccuWeather نسخه iOS پرداخته است. در طول آزمایش تحقیقاتی خود و با نصب یک SDK شخص ثالث بر روی AccuWeather، او کشف کرد که برنامه هواشناسی AccuWeather شانزده بار اطلاعات را به شرکت Reveal Mobile ارسال کرده است.
بر اساس گزارشات روابط عمومی خود شرکت AccuWeather، این فرایند به عنوان یک روش کارآمد برای کمک به ناشران برنامه و شرکت های رسانه ای به کار گرفته میشود چرا که میتوانند حداکثر مقدار را از داده های موقعیت مکانی آنها استخراج کنند. ویل در یاداشتهای خود مینویسد این کار میتواند پول زیادی را برای شرکتهای Reveal Mobile و AccuWeather تولید کند.
ویل در حساب کاربری و شخصی توییتر خود این گونه توییت زده است:
ارزش اطلاعات شخصی شما (اطلاعات GPS و WiFi) برای بعضی از توسعهدهندگان نرمافزاری iOS بسیار مهم است.
علاوه بر این، استرافاچ بر این باور است که SDK شرکت Reveal Mobile میتواند داده های موقعیت مکانی کاربر را از طریق فعالسازی بلوتوث (Bluetooth Beacons) جمعآوری کند. بر طبق توضیحات شرکت Reveal Mobile درباره محصول خودش، هنگامی که شما در نزدیکی یکی هستید، این محصول میتواند مکان شما را پیدا کند و اطلاعات را به اطلاعاتی که می تواند فروش دهد تبدیل کند.
این محصول زمانی که کاربر برنامه را باز و اجرا میکند فعالیتش را شروع میکند. نحوه تشخیص و شناسایی فعالسازی بلوتوث زمانی رخ میدهد که برنامه در حال استفاده نباشد. با استفاده از این فرایند شرکت Reveal Mobile موقعیتهای مکانی وسیعتر و دقیقتری را میسازد.
بدیهی است حتی زمانی که کاربران از برنامه AccuWeather خارج میشوند و از آن استفادهای نمیکنند شرکت میتواند با استفاده از جمعآوری اطلاعات و دادههای شخصی، درآمد بیشتر کسب کند. در ادامه ویل استرافاچ یادآور میشود این فرایند ناقض قرارداد شرکت اپل با توسعهدهنده است و در واقع حقوق مصرفکننده را زیر پا میگذارد.
گر چه جمعآوری شناسههای BSSID و نام روتر کاربران ممکن است به نظر بی خطر باشد. کمیسیون تجارت فدرال (FTC) در حال تجزیه و تحلیل و بررسی شرکتی به نام InMobi در همین موضوع است. کمیسیون تجارت فدرال پس از بررسیهای خود طی بیانیهای اعلام کرد که شرکت InMobi با جمع آوری BSSID (یک شناسه منحصر به فرد) از شبکه های WiFi که یک دستگاه مصرف کننده به آن متصل است یا در محدوده آن قرار دارد و تغذیه این اطلاعات در پایگاه داده Geocoder ضمن اینکه به درآمد خوبی دست پیدا میکند، پس از آن می تواند مکان مصرف کننده را بیابد.
Basic Service Set Identification یا همان BSSID در واقع همان Mac آدرس Access point میباشد. Service Set Identification یا SSID میتواند از ۰ تا ۳۲ اکتت تشکیل شود Access point ها با انتشار این نام خود را بصورت عمومی معرفی و قابل شناسایی میکنند. در مباحث امینت شبکه با استفاده از تکنیک Network Cloaking که مخفی کردن Service Set Identification از انتشار عمومی است برای تحکیم امنیت شبکه مورد استفاده قرار میگیرد که امروزه براحتی این نیز قابل کشف و مشاهده میباشد.
در توییتر، یکی از کاربران این سوال را پرسیده بود که چه کسی میگوید برنامهها کاربران را ردیابی میکند؟ استرافاچ در پاسخ به این سوال گفته است که اکثر برنامههایی که بدون دریافت مجوز کاربر به جمعآوری اطلاعات و دادههای شخصی میپردازند در پلتفرم iOS اپل هستند چرا که ردیابی کاربران و جمعآوری چنین اطلاعاتی در اندروید امکان پذیر نیست دلیل آن هم این است که در حال حاضر گوگل از نظر احتمال استفاده از WiFi برای سوءاستفادهکنندگان آگاه است. از زمان انتشار نسخه ۶٫۰ (Marshmallow) اندروید، برنامه های کاربردی باید قبل از دسترسی به BSSID شبکه، مجوز کاربر را دریافت کنند. چنین سیستمی در برنامههای پلتفرم iOS شرکت اپل وجود ندارد.
شرکت اپل در به روز رسانی جدید سیستم عامل iOS و نسخه جدید آن یعنی iOS 11 باید امنیت بیشتری برای کاربران حین استفاده از برنامههای کاربردی Third Party (برنامههای شرکتهای شخص ثالث) فراهم کند. با انتشار این خبر، بدون شک شرکت اپل واکنشهای ضد و نقیضی را خواهد داشت که در آینده مشخص خواهد شد.