مقاله
امنیت در اعماق اندروید
عقیده‌ای مشهور میان متخصصان امنیتی رایج است که بیان می‌کند: «بزرگ‌ترین تهدید امنیتی هر شخص، خود آن فرد است.»
در نگاه اول این موضوع کمی عجیب به نظر می‌رسد، اما وقتی کمی در آن دقیق می‌شوید، خواهید دید که واقعا همین‌گونه است. درواقع بسیاری از حملات و صدمات امنیتی که برای کاربران رخ می‌دهد به این دلیل است که موارد امنیتی را رعایت نکرده و در نهایت هکر یا بدافزار توانسته به کاربر صدمه بزند. درست است که برخی مسائل امنیتی که رخ می‌دهد از طرف ابزار یا اپلیکیشن و توسط اشتباه توسعه‌دهنده است، اما عمده مسائل به خود کاربر برمی‌گردد و هر کاربر با رعایت مسائل امنیتی می‌تواند امنیت و حریم شخصی‌اش را به حداکثر مقدار ممکن برساند.
امروزه پراستفاده‌ترین ابزار هر شخص گوشی موبایل او است و درصد بالایی از کاربران، مهم‌ترین اطلاعات‌شان را در گوشی هوشند خود ذخیره می‌کنند. پس بهترین مکانی که هکر‌ها و بدافزارها می‌توانند در آن جولان دهند همین گوشی‌های هوشمند هستند. اندروید به‌عنوان پراستفاده‌ترین سیستم‌عامل موبایلی برای امنیت کاربرانش بسیاری از راهکارهای امنیتی را در نظر گرفته است، اما تنها عده بسیار محدودی از کاربران به آن توجه می‌کنند. یکی از مهم‌ترین بخش‌های امنیتی در اندروید، مرحله Permissions در زمان نصب اپلیکیشن‌ها است. در این مرحله به کاربر اطلاعات کاملی از سطح‌ دسترسی‌های درخواستی توسط برنامه نشان داده می‌شود. به‌عنوان مثال، در نصب برنامه AirDroid اعلام می‌شود که این اپلیکیشن درخواست دسترسی به Wi-Fi، لیست مخاطبان، پیامک‌ها، کارت حافظه و بخش‌های دیگر را دارد. کاربر با یک نگاه سریع می‌تواند اطمینان حاصل کند که اپلیکیشن مورد نظرش دسترسی بیش از اندازه به اطلاعات حساس کاربر نخواهد داشت. به‌عنوان نمونه، هیچ لزومی ندارد که یک برنامه ویرایشگر عکس به پیامک‌های کاربر دسترسی پیدا کند.
بسیاری از ما با بی‌تفاوتی از Permission‌های درخواستی عبور می‌کنیم و برخی دیگر با ضعف در زبان انگلیسی متوجه دسترسی‌های درخواستی نمی‌شوند. طی چند شماره قصد داریم نگاهی به لیست Permission‌های اندروید بیندازیم تا شما نیز وقتی به نصب برنامه می‌پردازید با آگاهی کامل و شناخت آنها، پیش بروید. پیشنهاد می‌کنیم این چند شماره و توضیحات ارائه شده در آن را از دست ندهید.

Make phone calls
این سطح دسترسی می‌تواند برای شما هزینه دربر داشته باشد. Make phone calls به اپلیکیشن موردنظر اجازه می‌دهد که بدون وارد شدن به بخش Dialer‌ اندروید و بدون آنکه لازم باشد کاربر تماس را تایید کند، به شماره‌گیری و ایجاد یک تماس بپردازد. هر اپلیکیشن توانایی درخواست یک شماره در Dialer اندروید را دارد، اما کاربر با کلید روی دکمه Call می‌تواند اجازه شماره‌گیری را بدهد. اما سطح دسترسی Make phone calls باعث می‌شود اپلیکیشن به‌طور پنهانی و به دور از چشم کاربر بتواند به این کار مشغول شود. برای مثال، اپلیکیشن‌هایی نظیر Viber و Skype به این سطح دسترسی برای تماس اینترنتی نیاز دارند، اما بسیاری از بدافزارها و جاسوس‌افزارها می‌توانند از این سطح دسترسی سوء‌استفاده کنند. اگر یک بدافزار این سطح دسترس را داشته باشد، می‌تواند با کشورهای دیگر یا حتی شماره‌هایی که هزینه زیادی دارند تماس برقرار کرده و هزینه گزافی را بر كاربر متحمل کند. این سطح دسترسی یک سطح بسیار حساس و مهم محسوب شده و در زمان نصب اپلیکیشن به آن دقت خاصی داشته باشید که فقط اپلیکیشن‌های مناسب و مورد تایید این سطح دسترسی را داشته باشند.

Send SMS or MMS
با این سطح دسترسی، اپلیکیشن موردنظر توانایی ارسال پیامک یا پیام‌های چندرسانه‌ای به‌صورت خودکار خواهد داشت. این سطح دسترسی نیز مانند سطح دسترسی قبلی است، کارکرد و اهمیت امنیتی مشابه آن را دارد. پس به اپلیکیشن‌هایی که درخواست چنین Permission‌ای دارند دقت داشته باشید.

Modify/delete SD card contents
با این سطح‌ دسترسی، اپلیکیشن توانایی خواندن، نوشتن و پاک کردن هر گونه داده‌ای را روی کارت حافظه خارجی دستگاه و نه حافظه داخلی دارد. البته ناگفته نماند این سطح دسترسی درخواستی در بسیاری از اپلیکیشن‌ها، به‌خصوص اپلیکیشن‌های عکس‌برداری، پخش‌کننده فایل تصویری و ویدئویی‌، اجراکننده فایل‌های آفیس و PDF و از این دست اپلیکیشن‌ها‌ به‌طور پیش‌فرض برای کار با فایل‌های خودشان به این سطح دسترسی نیاز دارند.

Read Contacts
همان‌طور که از نام سطح دسترسی Read Contacts مشخص است، اپلیکیشن‌ها با این سطح دسترسی می‌توانند کاملا به اطلاعات تک‌تک لیست مخاطبان (Contacts) شما دسترسی پیدا کنند؛ یعنی نام، شماره‌های تماس، ایمیل، آدرس و هر داده‌ دیگری که برای مخاطبان خود ذخیره کرده‌اید. این سطح دسترسی بسیار مهم و خطرناک است و همچنین بخش عظیمی از جاسوس‌افزارها به دنبال لیست مخاطبان هستند. البته درخواست چنین سطح دسترسی‌ بین اپلیکیشن‌های اجتماعی رایج است و دلیل آن هم پیشنهاد دادن حساب کاربری افرادی است که در لیست مخاطبان شما قرار دارد. برای مثال، وقتی در شبکه اجتماعی توییتر وارد می‌شوید، اگر دوستان، افراد خانواده و سایر افرادی که در Contacts شما قرار دارند و یک حساب کاربری در توییتر نیز دارند، اسم حساب كاربری آنها به شما پیشنهاد می‌شود. علاوه بر اپلیکیشن شبکه‌های اجتماعی، اپلیکیشن‌های کیبورد تایپ سریع، نت‌برداری، مدیریت پیامک و مدیریت لیست مخاطبان به این سطح دسترسی نیاز دارند و در آنها Read Contacts رایج است.

Write contact data
مشابه سطح دسترسی قبلی است، توانایی تغییر اطلاعات Contacts برای اپلیکیشن به وجود می‌آید. این مورد نیز اگر توسط اپلیکیشن‌‌های بدافزار درخواست شود، برای کاربر خطرناک خواهد بود. دسته اپلیکیشن‌های رایج درخواست‌کننده این سطح دسترسی کاملا مشابه سطح دسترسی Read Contacts است.

Read calendar data
قابلیت خواندن اطلاعات تقویم کاربر با این سطح دسترسی به اپلیکیشن داده می‌شود. اگر شما از تقویم خود چه تقویم گوگل و چه تقویم‌های دیگر مثل فیس‌بوک استفاده می‌کنید، این سطح دسترسی می‌تواند بسیار خطر‌ساز باشد؛ به‌خصوص اگر با آگاهی کامل هکر یا دزدها شما را تحت نظر و هدف قرار داده باشند. تصور کنید در تقویم شخصی خود تاریخ رفت و برگشت یکی از سفرهای خود را ثبت می‌کنید یا حتی در تقویم فیس‌بوک خود تایید می‌کنید که به فلان نمایش تئاتر یا همایش می‌روید. اگر فرد سارق به این اطلاعات دسترسی پیدا کند، به‌راحتی زمان غیاب شما را در خانه تشخیص داده و می‌تواند در فرصت مناسب به سرقت مشغول شود. با این سطح دسترسی به اپلیکیشن‌های غیرمجاز، حوادث و مشکلات بسیار بدتری می‌تواند رخ دهد.

Write calendar data
کاملا مشابه سطح دسترسی قبلی است؛ با این تفاوت که اپلیکیشن توانایی نوشتن و تغییر اطلاعات تقویم شما را دارد. به این سطح دسترسی درخواستی اپلیکیشن‌ها نیز دقت ویژه‌ای داشته باشید.

Read browser history & bookmarks
یكی از مهم‌ترین بخش‌های یک سیستم‌عامل می‌تواند اطلاعات مرورگر کاربر باشد. اینکه کاربر به چه سایت‌هایی مراجعه و چه سایت‌هایی را به لیست محبوب خود اضافه کرده است. هکرها با استفاده از این سطح دسترسی می‌توانند شما را تحت فشار قرار دهند.

Write browser history & bookmarks
مشابه دسترسی قبلی است، اما در این Permission کاربر به اپلیکیشن اجازه نوشتن در تاریخچه و لیست سایت‌‌های محبوب در مرورگر خود را می‌دهد.

Read sensitive logs
این سطح دسترسی اجازه می‌دهد که اپلیکیشن به اطلاعات سطح پایین Logها دسترسی پیدا کند؛ حتی Logهایی که توسط اپلیکیشن‌های دیگر در اندروید شما تولید شده‌اند نیز قابل دسترسی است. از این سطح دسترسی معمولا در زمان توسعه اپلیکیشن و توسط اپلیکیشن‌نویس استفاده می‌شود، ولی بدافزارها می‌توانند از این سطح دسترسی سوء‌استفاده کنند. اهمیت این سطح دسترسی بسیار بالا است. نباید ساده از کنار چنین سطح دسترسی درخواستی توسط اپلیکیشنی عبور کنید و اجازه نصب بدهید.

Modify global system settings
با استفاده از این سطح دسترسی، اپلیکیشن می‌تواند به تنظیمات سیستمی دسترسی و در آنها تغییر ایجاد کند. تنظیماتی که در بخش Settings اندروید قرار دارد با این Permission قابل تغییر است. این سطح دسترسی خیلی نمی‌تواند برای کاربر مشکل‌ساز باشد، اما نباید از آن غافل شد.
اپلیکیشن‌هایی نظیر آنهایی که اجازه دسترسی به تغییر حجم صدا را دارند، ویجت‌هایی با کاربری نوتیفیکیشنی، ویجت‌های Settings، ابزارهای کار با Wi-Fi‌ و GPS معمولا این سطح دسترسی را درخواست می‌کنند.

Read sync settings
این دسترسی از نظر امنیتی خیلی مهم و خطرساز نیست. اگر شما در گوشی‌ خود حساب کاربری‌ای به لیست Accounts اضافه کرده باشید، مانند Gmail یا Facebook، با این سطح دسترسی اپلکیشن می‌توانید متوجه شوید که Sync کدام حساب کاربری فعال و کدام یک غیرفعال است.

منبع
personelibugy
schedule1394/1/29
visibility418
حامیان جویشگر
  • Karapost - کاراپست
  • nozhan - نوژان
  • Elearnever - آکادمی مجازی ایرانیان
  • گروه کاربران لینوکس اصفهان
  • شهرک علمی و تحقیقاتی اصفهان