امنیت

اپلیکیشن های موبایل چی از ما می دونن؟

اپلیکیشن هایی که روی گوشی های هوشمند نصب می کنیم غیر از هدف اصلیشون، کارهای دیگه ایه م می کنن. ساده ترین کارشون اینه که یه سری اطلاعات رو از مردم جمع می کنن و برای سازنده های اپلیکیشن و یا شرکت های تبلیغی می فرستند تا بتونن راحت تر گروه دفشون رو پیدا کنن و بیشتر پول در بیارن.

گستره زیادی از اطلاعات جمع آوری می شه از مکان جغرافیایی و شماره تلفن و شماره شناسه گوشی تا اطلاعات شخصی مثل سن و جنسیت و لیست شماره دوستان و غیره.

وال استریت ژورنال در یک تحقیق یه سری اپلیکیشن (از جمله اپ خودشون) رو بررسی کرده تا ببینه کدوم ها این اطلاعات رو جمع می کنن و به کی ارسال می کنن. این اپلیکیشن ها از لیست محبوب ترین های هر سیستم عامل انتخاب شدن.

در تصویر زیر اپلیکیشن های اندرویدی رو خواهید دید و هرجا که در ستون مربوطه پر رنگ بود یعنی اطلاعات به شرکت هایی غیر از سازنده اصلی اپلیکیشن ارسال می شه و هرجا کم رنگ (راه راهه در واقع) بود یعنی اطلاعات اون ستون به سرورهای سازنده اپ ارسال می شه.

WSJ-android

 

وضعیت اپلیکیشن های آیفون هم وضعیت بهتری نداره.

WSJ-iphone

Standard
امنیت

امنیت در خرید تلفنی و گواهینامه SSL

اکثر گوشی های هوشمند جدید در مرورگر اینترنتی خود امکان تایید SSL را دارند و در صورتیکه مشکلی در گواهینامه امنیتی وجود داشته باشه، به کاربر اخطار می دهند. برای مثال مرورگر های اندروید در بررسی SSL بسیار سختگیرند.

به علاوه همگی با اون قفل کنار نوار آدرس مرورگر آشناییم که نشان از امن بودن صفحه و معتبر بودن گواهینامه SSL می ده. این نکته هنگام خرید با استفاده از اپلیکیشن ها وجود نداره و ما نشانگر خاصی که بهمون بگه اتصال امنه نمی بینیم. برای مثال می تونیم تفاوت مراجعه به سایت آمازون در مرورگر و اپلیکیشن این سرویس رو در تصویر زیر ببینیم.

amazon

هنگام خرید با استفاده از مرورگر، من می تونم مطمئن بشم که در صفحه امنی قرار دارم چون پیغام خطایی از مرورگر دریافت نکردم و نشانگر قفل هم کنار نوار آدرس دیده می شه. در صورتیکه خرید رو بخوام از طریق اپلیکیشن انجام بدم باید به توسعه دهنده اعتماد کنم و بر اساس اون بگم که اتصال و اطلاعات من امنه.

هرچند من به آمازون اعتماد می کنم اما اپلیکیشن های خرید زیادی وجود دارند که به اندازه ای که باید امن نیستند و از کانال های امنی اطلاعات رو ارسال و دریافت نمی کنند. هنگام امن کردن اطلاعات در نرم افزار گوشی ها اشباهات متعددی می تواند رخ دهد و توسعه دهنده فاکتورهای زیادی رو باید کنترل کنه و روش های از پیش تعیین شده ای برای انجام پرداخت وجود نداره.

با مرورگر، اتصال یا امنه و یا نیست و توسعه دهنده کار زیادی نباید انجام بده. کافیه که مطمئن بشه گواهینامه معتبر در مسیر درستی در سرور قرار گرفته. وقتی بحث اتصال امن مطرح می شه، هرچه “creative license” کمتری برای توسعه دهنده درنظر گرفته بشه، بهتره.

تنها راهی که من میتونم مطمئن بشم اپلیکیشن از SSL استفاده می کنه اینه که اون رو با واسطه پروکسی فعال کنم، چیزی شبیه  MITM Proxy و آدرس هایی که اطلاعات بهشون ارسال می شه رو به دست بیارم و در نهایت با openssl این آدرس رو چک کنم تا گواهینامه رو نشون بده و اعتبار سنجی کنه.

هرچند این روش برای تست نفوذ مناسبه اما به هیچ عنوان روش دوست داشتنی و قابل انجامی برای کاربرهای عادی نیست. اگر راه آسون‌تر و بهتری برای سنجش امنیت اتصال اپلیکیشن های گوشی های هوشمند سراغ دارید، در کامنت ها بگید.

ترجمه آزادی از تریپ‌وایر

Standard