میلیونها برنامهی کاربردی اطلاعات قابل شناسایی کاربران مانند نام، سن و حتی شماره تلفن و آدرس رایانامهی آنها را افشاء میکنند. علت اصلی این مشکل نیز توسعهدهندگان برنامههای کاربردی هستند که از دادههای تبلیغات هدفمند که به سمت تبلیغکنندگان شخص ثالث منتقل میشود، محافظت نمیکنند.
یکی از پژوهشگران آزمایشگاه امنیتی کسپرسکی نتایج تحقیقات خود را در کنفرانس RSA که در سانفرانسیسکو برگزار شد، ارائه کرد و گفت: «اولین بار که مقیاس چنین اتفاقی را بررسی کردیم، متوجه شدیم که برنامههایی که با بیدقتی طراحی شدهاند بسیار زیاد هستند. در میلیونها برنامهی کاربردی که در آنها کیتهای توسعهی نرمافزاری (SDK) شخص ثالث وجود دارد، دادههای خصوصی کاربران به حالت محافظتنشده ارسال شده و قابل شنود و تغییر هستند که میتواند حملات دیگری مانند نصب بدافزارهای مختلف را به دنبال داشته باشد.»
پژوهشگران میگویند دادههایی که بهطور محافظتنشده بر روی ارتباطات HTTP ارسال میشوند، توسط مهاجمانی که در یک شبکهی وایفای قرار دارند، توسط ارائهدهندگان سرویس اینترنت (ISP ها) و یا حتی توسط بدافزارهایی که بر روی مسیریابهای خانگی نصب شدهاند، قابل جمعآوری هستند.
پژوهشگران اعلام کردند فقط جمعآوری دادهها نیست و مهاجمان میتوانند دادههای محافظتنشده را پس از جمعآوری، ویرایش و دستکاری کنند که میتواند منجر به نمایش تبلیغات مخرب، هدایت کاربر به سمت دانلود تروجان و یا نصب بدافزار شود. پژوهشگران کسپرسکی مشکل اصلی را استفادهی توسعهدهندگان برنامه از SKD های مربوط به شبکههای تبلیغاتی میدانند.
بررسیهای پژوهشگران نشان میدهد که این کیتهای توسعهی نرمافزار دارای آسیبپذیریهای زیادی هستند و دادههای پروفایل کاربران را به حالت محافظتنشده بین برنامه و کارگزار تبلیغاتی شخص ثالث ارسال میکنند. گزارشها نشان میدهد این SDK های آسیبپذیر در میلیونها برنامهی کاربردی توسط توسعهدهندگان مورد استفاده قرار گرفتهاند.
پژوهشگران در گزارشی گفتند: «ما دو درخواست محبوب HTTP یعنی GET و POST را جستجو کردیم. در درخواستهای GET دادههای کاربر در قالب پارامترهای URL ارسال میشود، در حالیکه در درخواستهای POST دادههای کاربر در بخش محتوای درخواست ارسال میشود و نه در بخش URL. ما در بررسیهای خود به دنبال دادههای محافظتنشدهای بودیم که حداقل با یکی از این درخواستها ارسال میشدند. در حالیکه در بیشتر موارد دادههای هر دو درخواست بهحالت محافظتنشده ارسال میشدند.»
بررسیها نشان داد که تقریبا ۴ میلیون APK دادههای کاربران را در اینترنت افشاء میکنند. پژوهشگران اشاره کردند: «در برخی از موارد افشای اطلاعات به این دلیل بوده که توسعهدهنده در نوشتن کد برنامه اشتباهاتی کرده است ولی در بیشتر موارد علت افشای دادههای کاربران، استفاده از SDK های شخص ثالث توسط توسعهدهندگان است.»
پژوهشگران هنوز نتوانستهاند تبلیغکنندگانی که این SDK ها را ایجاد کردهاند، شناسایی کنند. در مثالی که پژوهشگران مشاهده کردهاند، یک فایل JSON به حالت رمزنگارینشده از کارگزار تبلیغکننده ارسال شده است. در این فایل JSON اطلاعات زیادی در مورد کاربر مانند اطلاعات دستگاه، تاریخ تولد، نام کاربری و موقعیت GPS وجود داشته است.
پژوهشگران اعلام کردند توسعهدهندگان برنامههای مخرب نیز دادهها را بهشیوهای ناامن ارسال میکنند. در توضیحات پژوهشگران آمده است: «در موردبدافزارها این موضوع خیلی بدتر هم میشود چرا که میتواند اطلاعات حساس بیشتری مانند پیامکها، تاریخچهی تماسها، مخاطبان و غیره را به سرقت ببرد. برنامههای مخرب فقط دادههای کاربران را به سرقت نمیبرند بلکه آنها را برای استفادهی دیگران و فروش در اینترنت به اشتراک میگذارند.»
پژوهشگران به کاربران دستگاههای تلفن همراه توصیه کردهاند تا جایی که میتوانند از VPN استفاده کنند. وقتی هم برنامهای را بر روی دستگاه خود نصب میکنند، به مجوزهایی که برنامه درخواست میکند، توجه کنند. هرچه برنامهای از شما مجوزهای زیادی را درخواست کند، پتانسیل حمله بیشتر بوده و با احتمال زیادی دادههای شما بهحالت محافظتنشده به سمت تبلیغکنندهها ارسال میشود.