افشای اطلاعات خصوصی کاربران توسط اپلیکیشن‌ها

به گزارش «خبرنامه دانشجویان ایران» به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، برخی از ابزارهای توسعه برنامه‌های موبایلی، پس از خرابی یک برنامه از صفحه گوشی عکس می‌گیرند و آن را به سرور شرکت سازنده جهت تحلیل مشکل ایجاد شده، ارسال می‌کنند. به این فرآیند دیباگ می گویند. این امر باعث می‌شود که اطلاعات حساس و خصوصی کاربر برای یک شرکت ثالث ارسال شود.

پژوهشگران Appthority کیت‌های توسعه نرم‌افزار (SDK) ارائه شده توسط AppSee و TestFairy را بررسی کرده‌اند و به کاربران هشدار دادند که برنامه‌هایی که وابسته به SDKهای توسعه‌دهندگان هستند، ممکن است اطلاعات خصوصی آنها را با سایر شرکت‌ها به اشتراک بگذارند.

کیت‌های توسعه AppSee و TestFairy برای ارائه وضعیت دقیق دستگاه قبل از وقوع خرابی یا crash طراحی شده‌اند. هنگامی که یک برنامه crash کند، هر دو ابزار نام برده اسکرین‌شات‌هایی را از دستگاه تهیه می‌کنند و آنها را برای تجزیه و تحلیل به توسعه‌دهنده برنامه ارسال می‌کنند. در برخی موارد، داده‌هایی مانند مکان‌های لمس شده توسط کاربر و نقشه‌های گرمایی (Heat map) نیز جمع‌آوری می‌شوند.

به گفته یک پژوهشگر امنیتی Appthority، تهیه اسکرین‌شات از گوشی برای دیباگ (اشکال زدایی نرم افزاری) و ارسال آن به سرورهای خارجی می‌تواند زمینه‌های جدیدی برای اکسپلویت‌های محیط‌های مربوط به توسعه‌برنامه‌های موبایلی ایجاد کند.

این پژوهشگر هشدار داده که اطلاعات حساسی مانند داده‌های کارت‌های اعتباری و گذرواژه‌ها ممکن است در این تصاویر ارسال شوند. همچنین AppSee و TestFairy به کاربران اجازه می‌دهد تا فایل‌های Word، Excel، PowerPoint و PDF را مشاهده کنند که در این حالت داده‌های حساس شرکت‌ها نیز در معرض خطر قرار می‌گیرند.

با این حال مدیرعامل شرکت TestFairy، اعلام کرده است که این SDK هیچ اطلاعاتی را از سایر برنامه‌ها دریافت نمی‌کند و گرفتن اسکرین‌شات هنگام carsh برنامه برای تسریع بخشیدن به فرآیند رفع باگ در برنامه است. همچنین، وی گفته که TestFairy قابلیت باز کردن هیچ سندی را ندارد. اما AppSee این قابلیت را دارا است و می‌تواند برای دیباگ و تحلیل مشکلات به آنها دسترسی داشته باشد.

برای مثال برنامه GoPuff که مربوط به یک رستوران است و از AppSee استفاده می‌کند، اسکرین‌شات‌هایی هنگام تراکنش‌ها تهیه می‌کند که در آنها اطلاعات کدپستی کاربر درج شده است. همچنین، برنامه MDLive که مربوط به حوزه سلامت است، از طریق TestFairy SDK اطلاعات حساس پزشکی کاربران را به اشتراک می‌گذارد. TestFairy در این خصوص اعلام کرده که آن‌ها هیچ یک از اطلاعات دریافت شده را با شرکت‌های ثالث به اشتراک نگذاشته‌اند و تنها برای دسترسی توسعه‌دهنده برنامه، اطلاعات در یک فضای ابری خصوصی ذخیره شده‌اند.

Appthority توصیه کرده است که تیم‌های امنیتی شرکت‌ها باید توجه بیشتری به این نوع برنامه‌ها که دسترسی به داده‌های حساس دارند، داشته باشند.

در حال حاضر حدود ۱۳۵۰ برنامه اندرویدی و ۴۰۰۰ برنامه iOS دارای قابلیت‌های ضبط تصویر روی دستگاه‌های شرکت‌ها هستند. حدود ۲۰۰ برنامه اندرویدی و ۱۸۰ برنامه iOS از قابلیت‌های ضبط تصویر ارائه شده توسط TestFairy استفاده می‌کنند.