همراه ما باشید
هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور

پيش از دانلود مراقب باشید؛ درآمدزایی به شما اولویت دارد

هشدار به كاربران ماركت‌هاي اندرويدي داخلي

نادر نينوايی

گوگل‌پلي اصولا نیازی به معرفی ندارد و تمام کاربران گوشی‌های هوشمند اندرویدی از طریق گوشی خود به شکل پیش‌فرض به این بزرگ‌ترین مارکت‌ عرضه اپلیکیشین‌های اندرویدی دنیا دسترسی دارند. شرکت گوگل در این مارکت اندرویدی امکان عرضه اپلیکیشن‌ها را برای توسعه‌دهندگان و عرضه‌کنندگان اپ تقریبا از سراسر دنیا امکان‌پذیر کرده است.

اما در گوگل‌پلی صرفا بستری برای درآمدزایی گوگل و اپ‌نویسان طراحی نشده و کاربرانی که این اپ‌ها را دانلود می‌کنند اصولا به حال خود رها نیستند. در واقع گوگل نظارت‌های مستمری بر آنچه به عنوان اپ روی این فروشگاه اندرویدی عرضه می‌شود اجرا می‌کند تا علاوه بر درآمدزایی، امنیت مشترکان و مشتریان خود را نیز تضمین کند و به این ترتیب اعتماد و اطمینان بیشتری برای کاربران و متعاقبا اعتبار بیشتری برای خود کسب می‌کند.

به عبارت دیگر حتما شما هم بارها با این جمله مواجه شده‌اید که به کاربران توصیه می‌کنند اپ‌های مورد نظر خود را صرفا از طریق گوگل‌پلی دریافت کنند نه از مسیرهای دیگر. بماند که کمپانی اپل در رویکردی انحصاری و به مراتب سختگیرانه‌تر امکان نصب اپلیکیشن‌های مرتبط با iOS را صرفا از طریق Appstore که متعلق به این شرکت است میسر کرده و کاربران امکان نصب اپلیکیشن از مسیرهای غیر از این شرکت را ندارند؛ مگر اینکه قید تضمین‌های امنیتی شرکت اپل را زده و گوشی خود را اصطلاحا جیلبریک کنند تا امکان استفاده از اپ‌های خارج از استور این شرکت را داشته باشند که شرکت اپل چنین کاری را به کاربران خود توصیه نمی‌کند.

تمام این اقدامات سختگیرانه و تضمین‌های ارایه شده اما یک هدف مشخص را تعقیب می‌کند و آن ایجاد نوعی حس اعتماد و مراقبت از کاربران دو پلتفرم اندروید و iOS است.

در همین راستا اما گوگل‌پلی علاوه بر کنترل‌های مستمر در هنگام عرضه اپ‌های جدید به شکل دوره‌ای نیز اپ‌هاي مساله‌دار مثل باج‌افزارها را از روي ماركت خود به صورت مكرر شناسايي و حذف مي‌كند. براي مثال اگر در عرض يك سال اپ‌هايي كه روي گوگل‌پلي حذف شده را بررسي كنيم، به عدد بزرگي مي‌رسيم كه نشان‌ مي‌دهد گوگل‌پلي به‌طور مستمر در حال پاك‌سازي و ايمن‌سازي فضاي كسب‌وكار خود است و به همين علت نيز بوده كه اعتماد مخاطبان را جلب كرده است و كاربران آن نگراني كمتري از اين ماركت اندرويدي دارند.

ماركت‌هاي اندرويدي در ايران هم در اين سال‌ها توانسته‌اند رشد خوبي داشته باشند كه يكي از مهم‌ترين علل آن فقدان امكان تراكنش‌هاي مالي با گوگل به دليل تحريم‌ها بوده است. درواقع همين موضوع باعث رشد مناسب ماركت‌هاي ايراني در اين سال‌ها بوده است.

در كشور ما ماركت‌هاي داخلي توانسته‌اند خلأ شركت‌هاي خارجي را برطرف كرده و با برقراري امكان تراكنش مالي و عرضه و فروش اپ‌ها، امكان فروش اپليكيشن توسط اپ‌نويسان داخلي را فراهم كنند.

با اين وجود اما عرضه تعداد زيادي باج‌افزار در قالب اپليكيشن روی برخی ماركت‌هاي ايراني باعث شده تا زنگ خطر هشدار به برخی از این مارکت‌ها و کاربران آنها به صدا درآید؛ چراکه در رویه‌ای غیرحرفه‌ای به نظر می‌رسد درآمدزایی اولویت مهم‌تری نسبت به امنیت مشترکان ایشان دارد.

مساله امنيت در ماركت‌هاي اندرويدي

از مدت‌ها قبل در خصوص مشكلاتي همچون ارايه كپي غيرقانوني از اپ‌ها روي ماركت‌های ايراني، عدم كارايي اپ‌هاي ارايه‌شده و وجود باج‌افزار در برخي از آنها انتقادهاي بسياري مطرح شده است.

بررسي‌هاي ميداني ما نشان مي‌دهد در مواردي از يك اپليكيشن بيش از 50 كپي غيرقانوني تهيه شده و اقدام به فروش آنها روي برخی ماركت‌هاي ايراني شده است.

به علت آنكه بررسي كپي بودن يا كپي نبودن، امنیت و کارایی صدها هزار اپ قرار گرفته روي ماركت‌هاي داخلي فرايندي بسيار زمان‌بر است رسانه‌ها كمتر توانسته‌اند به اين موضوع ورود كرده و به بررسي اپ‌هاي منتشر شده روي ماركت‌هاي ايراني بپردازند.

از سوي ديگر اما برخی از این ماركت‌هاي ايراني صرفا آمار پيشرفت خود را ارايه مي‌دهند و با اعلام تعداد بالاي اپ‌هاي ارايه‌شده و دانلود‌شده، مدعي مي‌شوند كه تعداد بالايي شغل ايجاد كرده‌اند و البته به ارايه صرف همين آمار بسنده مي‌كنند.

برخلاف برخی ماركت‌هاي ايراني اما گوگل‌پلي به صورت مستمر آماري از شناسايي و حذف اپ‌هاي مساله‌دار منتشر و ارايه مي‌كند. اگرچه شايد علت اصلي عدم برخورد و حذف اپ‌هاي منتشرشده بر بستر برخی ماركت‌هاي ايراني به اين دليل باشد كه صاحبان اين ماركت‌ها به دنبال رو به رشد نشان دادن آمار عملكردي خود و درآمدزایی از این طریق هستند.

اما در روزهاي اخير مركز ماهر سازمان فناوري اطلاعات وزارت ارتباطات آماري تكان‌دهنده از مشكلات ماركت‌هاي اندرويدي داخلی و اپ‌هاي منتشره روي آنها منتشر كرده كه نشان مي‌دهد ترديد‌ها و ابهامات در خصوص عملكرد برخي ماركت‌هاي اندرويدي چندان نابجا نبوده و مورد تاييد است.

سرقت اطلاعات بیش از یک میلیون کاربر ایرانی اینستاگرام

به‌تازگي مرکز «ماهر» در گزارشی به تحقیق و بررسی حول برنامه‌هایی که به ارايه خدمات جانبی به کاربران ایرانی اینستاگرام می‌پردازند، پرداخته و در لابه‌لای گزارش خود، برآورد لو رفتن اطلاعات بیش از یک میلیون کاربر ایرانی را ارايه کرده كه اپ‌هاي داخلي مرتبط با اينستاگرام را دانلود كرده‌اند.

یکی از شبکه‌های اجتماعی پرمخاطب در ایران، شبکه اشتراک عکس و ویديوی اینستاگرام است و با توجه به همین امر، برنامه‌های زیادی با نام‌های «فالوئریاب»، «لایک بگیر»، «آنفالویاب» و عناوین مشابه برای ارايه خدمات جانبی به کاربران اینستاگرامی در برخی مارکت‌های داخلی منتشر شده است.

همان‌طور که نام اين برنامه‌ها كه عمدتا روي ماركت‌هاي داخلي منتشر مي‌شوند نشان می‌دهد، هدف آنها عمدتا گرفتن فالوئر و لایک‌های کاذب برای کاربران اینستاگرام است.

در گزارش مرکز ماهر که مبتنی بر بررسی‌های فنی صورت‌گرفته، بیش از 200 برنامه اندرویدی که خدمات مرتبط با اینستاگرام ارايه می‌دهند، از مارکت‌های داخلی جمع‌آوری و بررسی شده است.

از این میان حدود 100 برنامه برای ارايه خدمات، در رویه‌ای کاملا ناامن و غیرحرفه‌ای نیاز به ورود به حساب اینستاگرام کاربر داشتند، همچنین در بین این برنامه‌ها بیش از 50 برنامه سارق اطلاعات کاربران نیز شناسایی شده‌اند.

این برنامه‌ها نام کاربری و رمز عبور اینستاگرامی کاربر را به روش‌های مختلف استخراج کرده و به سرور توسعه‌دهندگان ارسال می‌کردند؛ با توجه به آمار نصب‌های این برنامه‌ها به‌صورت تخمینی اطلاعات بیش از یک میلیون کاربر اینستاگرام در ایران در اختیار تولیدکنندگان این برنامه‌ها قرار گرفته است.

بررسی‌های مرکز ماهر همچنین نشان داده، بسیاری از برنامه‌های دیگر (از بین 100 برنامه) نیز با وجود اینکه به کاربران اطمینان می‌دادند که به رمز عبور آنها دسترسی ندارند اما با استفاده از روش‌هایی، رمز عبور را استخراج می‌کردند.

برای این دسته از برنامه‌ها، شواهدی از ارسال رمز عبور به سرور خود برنامه‌ها مشاهده نشده و به همین دلیل این برنامه‌ها در فهرست برنامه‌های سارق به‌زعم مرکز ماهر قرار نگرفته‌اند.

براساس اعلام این مركز دولتی، از بین حدود 100 برنامه بررسی شده تقریبا نیمی از آنها سارق بودند و اکثر برنامه‌های باقی‌مانده نیز حداقل رمز عبور اینستاگرام کاربر را استخراج می‌کردند.

مركز ماهر وزارت ارتباطات هرچند دستور قانوني براي عدم انتشار اين اپ‌ها روي ماركت‌هاي ايراني نداده است، اما رسما اعلام كرده كه این برنامه‌ها در کل خطر بالایی دارند و بهتر است که فروشگاه‌های اندرویدی پیش از انتشار چنین برنامه‌هایی (که نیاز به ورود به حساب کاربری اینستاگرام دارند) بررسی دقیق‌تری داشته باشند.

در روند انتشار این گزارش، گفته شده در این تحقیق تمام برنامه‌های اندرویدی مارکت‌های داخلی بررسی نشده و فقط یک مجموعه 200 تایی از برنامه‌ها برای نمونه جمع‌آوری و تحلیل شدند؛ در نتیجه احتمالا برنامه‌های سارق متعدد دیگری نیز در برخی از مارکت‌های داخلی حضور دارند.

سوءاستفاده آنتی‌ویروس‌های اندرویدی از یک میلیون ایرانی

اپ‌هايي كه روي ماركت‌هاي اندرويدي داخلي ارايه مي‌شوند و عمدتا نام كاربري و رمز عبور اينستاگرام كاربران ايراني را سرقت مي‌كنند اما تنها اپ‌هاي پرخطر ارايه‌شده بر بستر اين ماركت‌ها نيستند.

به‌تازگي بررسی‌هاي مركز ماهر روي 60 به ظاهر آنتی‌ویروس اندرویدی در مارکت‌های ایرانی مشخص كرده هیچ‌کدام از آنها از کاربران در برابر ویروس‌ها محافظت نمي‌كنند و صرفا با هدف ارسال تبلیغات برای یک میلیون کاربر ايراني كه آنها را دانلود كرده‌اند، ساخته شده‌اند.

مرکز ماهر در گزارش اخير خود به بررسی آنتی‌ویروس‌های منتشر شده ویژه سیستم‌عامل اندروید روی مارکت‌های ایرانی پرداخت و گزارشی که بر اين اساس منتشر كرده نشان از سوءاستفاده‌هاي گسترده از اعتماد کاربران دارد.

براساس این گزارش 60 آنتی‌ویروس با توجه به شباهت بالایی که به یکدیگر داشتند به هفت دسته تقسیم شدند؛ يعني از هفت کد برنامه مشابه، 60 برنامه با اسامی متفاوت بیرون آمده تا كاربران بيشتري جذب شوند.

نکته جالب دیگر این گزارش این است که عملکرد این آنتی‌ویروس‌ها شباهتی به عملکرد آنتی‌ویروس‌های معروف فعال در بازار ایران مانند ‌Kaspersky،Avira  و Avast ندارد. در واقع این 60 اپلیکیشن هیچ‌کدام عملکرد قابل قبول یک آنتی‌ویروس را ارایه نمی‌کنند و تقریبا همه‌چیز یک نمایش و ظاهرسازی است.

در این گزارش آمده است: برخی از یک پایگاه داده آفلاین استفاده می‌کنند که آن را به‌روزرسانی نمی‌کنند، برخی نیز فقط موارد بسیار اولیه همچون مجوزهای برنامه‌ها یا فرمت فایل‌های ذخیره‌شده روی دستگاه را بررسی می‌کنند که این موارد از یک برنامه با عنوان آنتی‌ویروس قابل قبول نیست.

برخی از آنها هم اساسا کاری انجام نمی‌دهند و صرفا با ظاهرسازی کاربر را فریب می‌دهند که کار آنتی‌ویروس یا خنک‌کننده پردازنده را انجام می‌دهند.

مرکز ماهر در این گزارش آورده است که مجموعه این 60 آنتی‌ویروس توانسته‌اند یک میلیون نفر را آلوده کنند.

درواقع در این فهرست اسامی‌ چون «آنتی‌ویروس پیشرفته» با بیش از 200 هزار نصب و «ویروس پاک‌کن با امنیت بالا» با 50 هزار نصب تا «آنتی‌ویروس قدرتمند اریکه» با 100 نصب به چشم می‌خورد.

براساس گزارش مرکز ماهر، تحلیل دسته‌های مختلف از آنتی‌ویروس‌های ایرانی منتشر شده در مارکت‌ها نشان می‌دهد که بسیاری از آنها بارها با اسامی مختلف و توسط افراد مختلف منتشر شده‌اند، از این رو می‌توان نتیجه گرفت که این برنامه‌ها از روی برنامه‌های منبع‌باز ساخته شده و صرفا با تغییر آیکون منتشر شده‌اند.

در اغلب موارد، هدف از این کار استفاده از سرویس‌های تبلیغاتی داخل این برنامه‌ها و درآمدزایی از طریق نمایش تبلیغ به کاربران است. استفاده از سرویس‌های تبلیغاتی مثل عدد و سرویس ارسال نوتیفیکیشن پوش (برای ارسال تبلیغات نوتیفیکیشنی) در این برنامه‌ها رایج است.

نکته دیگر اینکه برخی از آنتی‌ویروس‌ها با کد یکسان بیش از 15 بار روی مارکت‌های ایرانی منتشر شده‌اند. براساس اعلام مركز ماهر سازمان فناوري اطلاعات ايران بسیاری از این آنتی‌ویروس‌ها عملکرد درستی برای تشخیص بدافزارهای اندرویدی ندارند و همه هفت دسته‌ای که بررسی شدند یا کاملا بدون هیچ تحلیلی هستند یا تحلیل بسیار ابتدایی دارند که قابل قبول نیست و نمی‌تواند از دستگاه اندرویدی در برابر تهدیدات دفاع کند.

مشتي نمونه خروار

آلودگی 2 ميليون کاربر ایرانی از طریق اپليكيشن‌ مساله‌دار بر بستر ماركت‌هاي اندرويدي ايراني گوياي اين مساله است كه موضوع ناديده‌گرفته شدن امنيت كاربران توسط برخی از این ماركت‌ها، امري كاملا جدي و مخاطره‌آميز است. درواقع انتشار اين اخبار در حكم زنگ خطري جدي است؛ زيرا در فاصله کوتاهی که مرکز ماهر که نهادی دولتی است به آن ورود کرده توانسته کشف کند حدود 2 میلیون کاربر از طريق اپ‌های ارایه‌شده روی مارکت‌های ایرانی آلوده شده‌اند و همین موضوع این احتمال را اصلا منتفی و دور از ذهن نمی‌کند که میلیون‌ها نفر دیگر نیز از طریق سایر اپلیکیشن‌های عرضه‌شده روی این مارکت‌ها در حال حاضر آلوده شده و مورد سوءاستفاده قرار گرفته باشند.

از این‌رو به نظر مي‌رسد بايد اقدامات گسترده‌تر، فوري‌تر و عميق‌تر در خصوص روش كار ماركت‌هاي اندرويدي داخلي، شيوه كنترل و تامين امنيت كاربران توسط آنها و اقداماتي از اين دست مد نظر قرار گيرد.

این درحالی است که در حوزه بازار اپليكيشن‌ها دولت در علتی نانوشته همواره سعي كرده از دخالت مستقيم اجتناب كند و معتقد است كه به مرور بازار اين عرصه خودش با رقابت موجود مشكلات را مرتفع مي‌كند. اما واقعيت اين است كه بخش عمده‌اي از بازار ماركت‌هاي اندرويدي داخلي به واسطه همین رهایی از هر گونه نظارت و انحصارگرایی، حالا مسایل و مشکلاتی ایجاد کرده‌اند که گزارش‌های اخیر مرکز ماهر که به بررسی بخش‌های کوچکی از مشکلات پرداخته‌اند، گوشه بسیار کوچکی از این موارد است.

در همین راستا به‌نظر مي‌رسد لا‌اقل مي‌بايست مركز ماهر ميزان امنيت همين تعداد محدود ماركت‌هاي اندرويدي داخلي را بررسي كند و در صورت امكان آنها را به سبب ميزان امنيت اپ‌هايي كه ارايه مي‌دهند رتبه‌بندي كند.

فراموش نكنيم كه هيچ بعيد نيست برخي از اپ‌ها با هدف جاسوسي از كاربران ايراني و توسط خارجی‌ها ساخته شده باشند و در ماركت‌هاي اندرويدي عرضه شوند، پس طبيعتا بررسي امنيت آنها الزام‌آور است.

نكته پاياني

اما در این میان یک مساله باید مورد توجه مسوولان دولتی امنیت سایبری کشور نیز باشد. هر ماركتي در دنيا ملزم است كه امنيت خود را تامين كند چون علاوه بر درآمدزايي بايد مراقب كاربراني كه از خدماتش استفاده مي‌كنند، باشد.

براي مثال، يك سوپرماركت نمي‌تواند اجناس فاسد، تقلبي یا قاچاق بفروشد و زمانی که هزاران نفر دچار مشکل و مسمومیت و صدمه شدند، مدعي شود كه مقصر نيست و صرفا مسوول تهیه بستر و فضایی برای این محصولات است. به زبان ساده صرفا مسوول تبلیغات و کسب‌درآمد برای خود است و به آنچه میان عرضه‌کننده و خریدار می‌گذرد، هیچ کاری ندارد.

این موضوع وقتی جالب می‌شود که برخي ماركت‌هاي اندرويدي ايران اما دقیقا چنین رويكردی دارند و مدعي‌اند كه حتي مسوول بررسي حاوي بدافزار بودن يا نبودن اپ‌هاي ارايه‌شده بر بستر خود نيستند؛ موضوعي كه بدون شك باید مورد توجه مسوولان فضای سایبری کشور قرار گیرد؛ زيرا صدمات و لطمات ناشی از این رویکرد می‌تواند به بخش‌های مختلف کشور سرایت کند و هزینه‌های سنگینی نه فقط برای مردم که برای کشور نیز ایجاد کند.

نکته دیگری که باید مدنظر قرار گیرد اینکه قرار نیست از بودجه بیت‌المال برای تامین امنیت فروشگاه‌های اندرویدی داخلی استفاده شود. به عبارت دیگر، قرار نیست این مارکت‌های اندرویدی صرفا مسوول درآمدزایی خود باشند و دولت مسوول تامین امنیت و ارایه خدمات مشاوره‌ای به ایشان از پول مردم باشد.

این مثل آن است که فردی برای درآمدزایی مکانی را برای اجاره و عرضه محصولات ایجاد کند که در آن از فروشندگان واقعی گرفته تا سارقان و مال‌خران و کلاهبرداران بتوانند به‌راحتی در آن حضور داشته و همچون فضای کوچه و خیابان، پلیس مسوول رسیدگی به امنیت مردم و خطرات موجود در این مکان‌ها باشد.

در نهایت اینکه شايد مركز ماهر بتواند با رتبه‌بندي ماركت‌هاي اندرويدي به لحاظ امنيتي، حداقل انگيزه‌اي براي رعايت حقوق كاربران و دغدغه‌هاي امنيتي در آنها به وجود بياورد و در صورت بی‌توجهی مارکت‌های داخلی، حداقل کاربران بدانند که فلان مارکت اندرویدی اهمیتی به امنیت ایشان نشان نداده و اپ‌هایی که از این مارکت دانلود می‌شود می‌تواند معضلات زیادی برای مردم ایجاد کند.

درج دیدگاه

بررسی بازی