محققان امنیتی در اوایل ماه جاری، بیش از ۱۳۰۰ برنامه اندروید کشف کردند که اطلاعات حساس کاربران را حتی پس از رد مجوز دسترسی، جمعآوری میکنند.
تحقیقات نشان میدهد که توسعه دهندگان این اپلیکیشنها با استفاده از کانالهای پنهان و جانبی، به جمعآوری اطلاعات مکان، شناسههای تلفن و آدرسهای کاربران خود میپردازند.
یکی از این حملات که توسط تعدادی از محققان امنیتی سایبری کشف شده است، میتواند به برنامههای مخرب اجازه دهد تا صداهای خارجشده از بلندگوهای گوشیهای هوشمند را بدون نیاز به مجوز دستگاه، شنود کنند.
این حمله که «Spearphone» نامیده میشود، از یک سنسور حرکتی مبتنی بر سختافزار با نام شتابسنج استفاده میکند که در اکثر دستگاههای اندروید وجود دارد. این سختافزار میتواند بدون هیچگونه محدودیتی توسط هر نرمافزاری که روی یک دستگاه نصب شده است (حتی با مجوز صفر) دسترسی پیدا کند.
شتابسنج، یک سنسور حرکتی است که با اندازهگیری سرعت زمان تغییر، با توجه به مقدار یا جهت، به برنامههای کاربردی، اجازه نظارت بر حرکت دستگاه از جمله شیب، لرزش و چرخش میدهد.
این حمله زمانی رخ میدهد که قربانی، تماس تلفنی یا تماس ویدیویی را در حالت بلندگو قرار میدهد یا در حال گوش دادن به یک فایل رسانهای است.
از آنجایی که بلندگوی داخلی یک گوشی هوشمند در سطحی یکسان با سنسورهای حرکتی قرار دارد، هنگامی که حالت بلندگو فعال میشود، صداهای بلندی را در بدنه گوشی تولید میکند و به اینگونه حملات اجازه میدهد تا بهسادگی، برخی از ویژگیهای گفتاری کاربر ازجمله جنسیت (با دقت بیش از ۹۰درصد)، هویت (با دقت بیش از ۸۰درصد) و حتی کلمات را شناسایی کنند.
خوشبختانه این حمله نمیتواند برای ضبط صدای کاربران یا محیط اطراف آن مورد استفاده قرار گیرد؛ زیرا به قدری قوی نیست که بتواند بر حسگرهای حرکتی گوشی تأثیر بگذارد.
برای مقابله با چنین حملاتی، پلتفرم اندروید میتواند سیاستهای کنترل دسترسی سختگیرانهای را اجرا کند که استفاده از این سنسورها را محدود میکند.
وجود یک سیاست کنترل دسترسی کنترلشده برای سنسورها و اجرای مدل مجوز استفاده صریح توسط برنامهها، اغلب نمیتواند جلوی این حملات را بگیرد؛ زیرا بسیاری از کاربران به مجوزهای خواستهشده توجه جدی نمیکنند.
ساخت داخلی گوشی هوشمند باید به گونهای باشد که سنسورهای حرکتی، از ارتعاشاتی که به وسیله بلندگوهای گوشی ایجاد میشوند، عایقبندی شوند. یک راه برای اجرای این رویکرد این است که اطراف بلندگوهای ساختهشده را از مواد ارتعاشی ناشی از لرزشهایی که از بلندگوهای گوشی ایجاد میشوند، تخلیه یا خنثی کنند.
به کاربران توصیه میشود که برای محافظت از خود در برابر این حمله، به برنامههایی که دانلود میکنند و وبسایتهایی که هنگام بازدید از آنها نیاز به استفاده از ویژگیهای بلندگو دارند، بسیار دقت کنند.