افشای اطلاعات کاربران توسط اپلیکیشنها
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا) نسبت به افشای اطلاعات خصوصی کاربران توسط برنامههای اشکال زدایی نرم افزار (دیباگ) هشدار داد.
مهر: به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، برخی از ابزارهای توسعه برنامههای موبایلی، پس از خرابی یک برنامه از صفحه گوشی عکس میگیرند و آن را به سرور شرکت سازنده جهت تحلیل مشکل ایجاد شده، ارسال میکنند. به این فرآیند دیباگ می گویند. این امر باعث میشود که اطلاعات حساس و خصوصی کاربر برای یک شرکت ثالث ارسال شود.
پژوهشگران Appthority کیتهای توسعه نرمافزار (SDK) ارائه شده توسط AppSee و TestFairy را بررسی کردهاند و به کاربران هشدار دادند که برنامههایی که وابسته به SDKهای توسعهدهندگان هستند، ممکن است اطلاعات خصوصی آنها را با سایر شرکتها به اشتراک بگذارند.
کیتهای توسعه AppSee و TestFairy برای ارائه وضعیت دقیق دستگاه قبل از وقوع خرابی یا crash طراحی شدهاند. هنگامی که یک برنامه crash کند، هر دو ابزار نام برده اسکرینشاتهایی را از دستگاه تهیه میکنند و آنها را برای تجزیه و تحلیل به توسعهدهنده برنامه ارسال میکنند. در برخی موارد، دادههایی مانند مکانهای لمس شده توسط کاربر و نقشههای گرمایی (Heat map) نیز جمعآوری میشوند.
به گفته یک پژوهشگر امنیتی Appthority، تهیه اسکرینشات از گوشی برای دیباگ (اشکال زدایی نرم افزاری) و ارسال آن به سرورهای خارجی میتواند زمینههای جدیدی برای اکسپلویتهای محیطهای مربوط به توسعهبرنامههای موبایلی ایجاد کند.
این پژوهشگر هشدار داده که اطلاعات حساسی مانند دادههای کارتهای اعتباری و گذرواژهها ممکن است در این تصاویر ارسال شوند. همچنین AppSee و TestFairy به کاربران اجازه میدهد تا فایلهای Word، Excel، PowerPoint و PDF را مشاهده کنند که در این حالت دادههای حساس شرکتها نیز در معرض خطر قرار میگیرند.
با این حال مدیرعامل شرکت TestFairy، اعلام کرده است که این SDK هیچ اطلاعاتی را از سایر برنامهها دریافت نمیکند و گرفتن اسکرینشات هنگام carsh برنامه برای تسریع بخشیدن به فرآیند رفع باگ در برنامه است. همچنین، وی گفته که TestFairy قابلیت باز کردن هیچ سندی را ندارد. اما AppSee این قابلیت را دارا است و میتواند برای دیباگ و تحلیل مشکلات به آنها دسترسی داشته باشد.
برای مثال برنامه GoPuff که مربوط به یک رستوران است و از AppSee استفاده میکند، اسکرینشاتهایی هنگام تراکنشها تهیه میکند که در آنها اطلاعات کدپستی کاربر درج شده است. همچنین، برنامه MDLive که مربوط به حوزه سلامت است، از طریق TestFairy SDK اطلاعات حساس پزشکی کاربران را به اشتراک میگذارد.
TestFairy در این خصوص اعلام کرده که آنها هیچ یک از اطلاعات دریافت شده را با شرکتهای ثالث به اشتراک نگذاشتهاند و تنها برای دسترسی توسعهدهنده برنامه، اطلاعات در یک فضای ابری خصوصی ذخیره شدهاند.
Appthority توصیه کرده است که تیمهای امنیتی شرکتها باید توجه بیشتری به این نوع برنامهها که دسترسی به دادههای حساس دارند، داشته باشند.
در حال حاضر حدود ۱۳۵۰ برنامه اندرویدی و ۴۰۰۰ برنامه iOS دارای قابلیتهای ضبط تصویر روی دستگاههای شرکتها هستند. حدود ۲۰۰ برنامه اندرویدی و ۱۸۰ برنامه iOS از قابلیتهای ضبط تصویر ارائه شده توسط TestFairy استفاده میکنند.
ارسال نظر