۱۰ مرداد ۱۳۹۸ - ۲۳:۰۰

خطر شنود در گوشی‌های اندرویدی

مرکز ماهر نسبت به در معرض خطر بودن گوشی‌های اندرویدی به حملات شنود از طریق ضعف سنسور حرکتی «شتاب‌سنج» این گوشی ها هشدار داد.
کد خبر: ۸۰۷۱
محققان امنیتی در اوایل ماه جاری، بیش از ۱۳۰۰ برنامه اندروید کشف کردند که اطلاعات حساس کاربران را حتی پس از رد مجوز دسترسی، جمع‌آوری می‌کنند.

تحقیقات نشان می‌دهد که توسعه‌ دهندگان این اپلیکیشن‌ها با استفاده از کانال‌های پنهان و جانبی، به جمع‌آوری اطلاعات مکان، شناسه‌های تلفن و آدرس‌های کاربران خود می‌پردازند.
 


یکی از این حملات که توسط تعدادی از محققان امنیتی سایبری کشف شده است، می‌تواند به برنامه‌های مخرب اجازه دهد تا صدا‌های خارج‌شده از بلندگو‌های گوشی‌های هوشمند را بدون نیاز به مجوز دستگاه، شنود کنند.

این حمله که «Spearphone» نامیده می‌شود، از یک سنسور حرکتی مبتنی بر سخت‌افزار با نام شتاب‌سنج استفاده می‌کند که در اکثر دستگاه‌های اندروید وجود دارد. این سخت‌افزار می‌تواند بدون هیچ‌گونه محدودیتی توسط هر نرم‌افزاری که روی یک دستگاه نصب شده است (حتی با مجوز صفر) دسترسی پیدا کند.

شتاب‌سنج، یک سنسور حرکتی است که با اندازه‌گیری سرعت زمان تغییر، با توجه به مقدار یا جهت، به برنامه‌های کاربردی، اجازه نظارت بر حرکت دستگاه از جمله شیب، لرزش و چرخش می‌دهد.
این حمله زمانی رخ می‌دهد که قربانی، تماس تلفنی یا تماس ویدیویی را در حالت بلندگو قرار می‌دهد یا در حال گوش دادن به یک فایل رسانه‌ای است.

از آنجایی که بلندگوی داخلی یک گوشی هوشمند در سطحی یکسان با سنسور‌های حرکتی قرار دارد، هنگامی که حالت بلندگو فعال می‌شود، صدا‌های بلندی را در بدنه گوشی تولید می‌کند و به این‌گونه حملات اجازه می‌دهد تا به‌سادگی، برخی از ویژگی‌های گفتاری کاربر ازجمله جنسیت (با دقت بیش از ۹۰درصد)، هویت (با دقت بیش از ۸۰درصد) و حتی کلمات را شناسایی کنند.
 
گوشی

خوشبختانه این حمله نمی‌تواند برای ضبط صدای کاربران یا محیط اطراف آن مورد استفاده قرار گیرد؛ زیرا به قدری قوی نیست که بتواند بر حسگر‌های حرکتی گوشی تأثیر بگذارد.

برای مقابله با چنین حملاتی، پلتفرم اندروید می‌تواند سیاست‌های کنترل دسترسی سختگیرانه‌ای را اجرا کند که استفاده از این سنسور‌ها را محدود می‌کند.

وجود یک سیاست کنترل دسترسی کنترل‌شده برای سنسور‌ها و اجرای مدل مجوز استفاده صریح توسط برنامه‌ها، اغلب نمی‌تواند جلوی این حملات را بگیرد؛ زیرا بسیاری از کاربران به مجوز‌های خواسته‌شده توجه جدی نمی‌کنند.

ساخت داخلی گوشی هوشمند باید به گونه‌ای باشد که سنسور‌های حرکتی، از ارتعاشاتی که به وسیله بلندگو‌های گوشی ایجاد می‌شوند، عایق‌بندی شوند. یک راه برای اجرای این رویکرد این است که اطراف بلندگو‌های ساخته‌شده را از مواد ارتعاشی ناشی از لرزش‌هایی که از بلندگو‌های گوشی ایجاد می‌شوند، تخلیه یا خنثی کنند.

به کاربران توصیه می‌شود که برای محافظت از خود در برابر این حمله، به برنامه‌هایی که دانلود می‌کنند و وب‌سایت‌هایی که هنگام بازدید از آن‌ها نیاز به استفاده از ویژگی‌های بلندگو دارند، بسیار دقت کنند.
 
منبع: مهر / ۴۶۸۱۲۹۷
ارسال نظرات
انتشار نظرات حاوی توهین، افترا و نوشته شده با حروف (فینگلیش) ممکن نیست.
گزارش خطا
تازه ها