هشدار مركز افتا؛
افشای اطلاعات خصوصی كاربران توسط اپلیكیشن ها، ارسال به شركت ثالث
كارا پیام: مركز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا) نسبت به افشای اطلاعات خصوصی كاربران توسط برنامه های اشكال زدایی نرم افزار (دیباگ) اخطار داد.
به گزارش كارا پیام به نقل از مركز مدیریت راهبردی افتای ریاست جمهوری، بعضی از ابزارهای توسعه برنامه های موبایلی، بعد از خرابی یك برنامه از صفحه گوشی عكس می گیرند و آن را به سرور شركت سازنده جهت تحلیل مشكل تولید شده، ارسال می كنند. به این فرآیند دیباگ می گویند. این امر سبب می گردد كه اطلاعات حساس و خصوصی كاربر برای یك شركت ثالث ارسال شود. پژوهشگران Appthority كیت های توسعه نرم افزار (SDK) عرضه شده توسط AppSee و TestFairy را بررسی نموده اند و به كاربران اخطار دادند كه برنامه هایی كه وابسته به SDKهای توسعه دهندگان هستند، امكان دارد اطلاعات خصوصی آنها را با سایر شركت ها به اشتراك بگذارند. كیت های توسعه AppSee و TestFairy برای عرضه وضعیت دقیق دستگاه پیش از وقوع خرابی یا crash طراحی شده اند. هنگامی كه یك برنامه crash كند، هر دو ابزار نام برده اسكرین شات هایی را از دستگاه تهیه می كنند و آنها را برای تجزیه و تحلیل به توسعه دهنده برنامه ارسال می كنند. در بعضی موارد، داده هایی مانند مكان های لمس شده توسط كاربر و نقشه های گرمایی (Heat map) هم جمع آوری می شوند. به قول یك پژوهشگر امنیتی Appthority، تهیه اسكرین شات از گوشی برای دیباگ (اشكال زدایی نرم افزاری) و ارسال آن به سرورهای خارجی می تواند زمینه های جدیدی برای اكسپلویت های محیط های مربوط به توسعه برنامه های موبایلی تولید كند. این پژوهشگر اخطار داده كه اطلاعات حساسی مانند داده های كارت های اعتباری و پسورد ها امكان دارد در این تصاویر ارسال شوند. همینطور AppSee و TestFairy به كاربران اجازه می دهد تا فایل های Word، Excel، PowerPoint و PDF را مشاهده كنند كه در این حالت داده های حساس شركت ها هم در معرض خطر قرار می گیرند. با این وجود مدیرعامل شركت TestFairy، اعلام نموده است كه این SDK هیچ اطلاعاتی را از سایر برنامه ها دریافت نمی كند و گرفتن اسكرین شات هنگام carsh برنامه برای تسریع بخشیدن به فرآیند رفع باگ در برنامه است. همچنین، وی گفته كه TestFairy قابلیت باز كردن هیچ سندی را ندارد. اما AppSee این قابلیت را دارا است و می تواند برای دیباگ و تحلیل مشكلات به آنها دسترسی داشته باشد. برای مثال برنامه GoPuff كه مربوط به یك رستوران است و از AppSee استفاده می نماید، اسكرین شات هایی هنگام تراكنش ها تهیه می كند كه در آنها اطلاعات كدپستی كاربر درج شده است. همچنین، برنامه MDLive كه مربوط به حوزه سلامت است، با استفاده از TestFairy SDK اطلاعات حساس پزشكی كاربران را به اشتراك می گذارد. TestFairy در این خصوص اعلام نموده كه آن ها هیچ یك از اطلاعات دریافت شده را با شركت های ثالث به اشتراك نگذاشته اند و تنها برای دسترسی توسعه دهنده برنامه، اطلاعات در یك فضای ابری خصوصی ذخیره شده اند. Appthority سفارش كرده است كه تیم های امنیتی شركت ها باید توجه بیشتری به این نوع برنامه ها كه دسترسی به داده های حساس دارند، داشته باشند. هم اكنون حدود ۱۳۵۰ برنامه اندرویدی و ۴۰۰۰ برنامه iOS دارای قابلیت های ضبط تصویر روی دستگاه های شركت ها هستند. حدود ۲۰۰ برنامه اندرویدی و ۱۸۰ برنامه iOS از قابلیت های ضبط تصویر عرضه شده توسط TestFairy استفاده می نمایند.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب