محققان ام آی تی به تازگی دریافته اند که اپلیکیشن های اندروید از کانال های ارتباطی مخفی استفاده می کنند. آن ها تحقیقاتی را در این زمینه انجام دادند تا دریابند که این کانال ها چه تاثیری در عملکرد این اپلیکیشن ها دارند.
محققان ام آی تی دریافته اند که بیشتر داده های منتقل شده به و از 500 اپلیکیشن رایگان برای گوشی های اندروید گوگل هیچ و یا مقدار کمی تفاوت در تجربیات کاربران ایجاد می کنند.
از بین ارتباطات " مخفی" فقط نیمی از آن ها با پکیج های آماری اندروید استاندارد کار می کنند، و آمارهایی را در مورد الگوهای مصرف و عملکرد برنامه ارائه داده، به برنامه نویسان کمک می کنند تا اپلیکیشن ها را ارتقا بخشند.
جولیا روبین، که دارای مدرک پست دکترا در رشته علوم کامپیوتر از دانشگاه ام آی تی است گفت: " قسمت جالب این است که از 50 درصد دیگر آماری در دست نیست. "
محققان یافته های خود را در کنفرانس بین المللی IEEE/ACM در مورد مهندسی نرم افزار خودکار ارائه دادند.
اعمال متفاوت با یک اپلیکیشن موبایل ممکن است به ارتباطات بیرونی نیاز داشته باشد، و به جای تلاش برای هماهنگ سازی دسترسی مشترک به یک کانال ارتباطی ، اپلیکیشن معمولا برای هر عمل یک کانال ارتباطی مجزا می سازد.
مححققان تعدادی از کانال های ارتباطی را که توسط 500 برنامه پر مخاطب موبایل باز می شود آنالیز کردند و دریافتند که تقریبا 50 درصد آن ها هیچ ارتباطی با تجربه کاربر ندارند. این الزاما بیانگر کمیت داده هایی که از طریق این کانال ها مبادله می شوند نیست، اما برای دوره های کوتاه مدت استفاده از اپلیکیشن، قسمتی از داده های منتقل شده که مرتبط با تجربه کاربر نیست نیز تقریبا 50 درصد می باشد.
در دوره هایی با مدت بلند تر ، که در آن ها فایل های بزرگتر به گوشی منتقل می شوند – مانند خدمات انتقال موزیک و یا ویدئو – درصد داده های منتقل شده به آرامی و به صورت محرمانه کاهش می یابند. اما کانال های ارتباطی مخفی باز می مانند.
پرده برداری
اپلیکیشن های موبایل معمولا اختصاصی هستند. کد منبع آن ها معمولا برای عموم قابل دسترسی نیست و برنامه نویسان آن ها معمولا در تلاشند که جزئیات اجرای برنامه را مخفی نگاه دارند. تکنیکی که به آن " مبهم سازی" می گویند.
اما همه برنامه هایی که برای سیستم عامل اندروید نوشته می شوند باید وقتی که در تعامل با سخت افزار تلفن هستند از مجموعه ای استاندارد روند ها استفاده کنند . پس می توان مشخص کرد که چه بخشی از اپلیکیشن اندروید آنچه را که روی صفحه نشان داده می شود و یا به بلند گو ها منتقل می شود ، و چه بخش هایی کانال های ارتباطی را باز می کند کنترل می کند.
با ارائه همه راه های ممکن که توسط آن یک داده می تواند در اپلیکیشن جریان یابد ابزارهای تحلیل محققان می تواند مشخص کند که آیا یک فرمان داده شده برای باز شدن کانال ارتباطی می تواند منجر به کنترل سیگنالی که به صفحه و یا بلندگو می رود شود و یا خیر.
برای اعتبار بخشیدن به تکنیک تجزیه و تحلیل، محققان 47 نسخه اصلاح شده از 100 اپلیکیشن برتر اندروید را بازسازی کردند، که در آن ها کانال های ارتباطی که ابزار های آن ها به عنوان " مخفی" شناسایی کرده بودند را غیر فعال کردند. سپس آن ها مطالعاتی در مورد قابلیت استفاده انجام دادند و تعدادی از موارد عملکرد نسخه های اصلاح شده و اصلاح نشده برنامه را مورد آزمایش قرار دادند.
در 30 برنامه از بین 47 برنامه هیچ تفاوتی بین دو نسخه دیده نشد. در 9 مورد تبلیغات از بین رفته بودند اما عملکرد برنامه هیچ تغییری نکرده بود. و در سه مورد تفاوت ها " جزیی" شناخته شد. برای مثال یک نرم افزار رایگان پر طرفدار چراغ قوه امکان خرید ارتقا عملکرد را به کاربران می داد اما در صفحه خرید ارتقا ، آیکون آن وجود نداشت.
5 تا از اپلیکیشن ها به طور کامل از کار افتادند. اما در حداقل یکی از آن ها مشکل از حفاظتی بود که برنامه نویس برای جلوگیری از فروش دوباره نرم افزار اختصاصی تعبیه کرده است. دلیل عدم کارکرد دیگر اپلیکیشن ها مشخص نبود.
چه کسی گوش می دهد؟
محققان همچنین ترافیک داده تعداد دیگری از اپلیکیشن های پر طرفدار را تجزیه و تحلیل کردند تا اهداف احتمالی ارتباطات مخفی را دریابند. برای مثال یک اپلیکیشن وال مارت به کاربران ان امکان را می دهد که بارکد های محصولات را در قفسه های فروشگاه اسکن کنند و قمیت آن ها را به دست آورند. اما هربار که این کار صورت می گیرد اطلاعاتی را به یک سرور می فرستد که به نظر می رسد به eBay وابسته است. از کار انداختن این ارتباط هیچ تاثیری روی رفتار اپلیکیشن نداشت.
جالب تر این که Candy Crush Saga، بازی که چند سال پیش نقد های بسیار بدی درمورد نقض آشکار حریم شخصی گرفت، یکی از تنها اپلیکیشن هایی بود که درهیچ کانال ارتباطی دخیل نبوده است.
تریپ ، رییس فنی امنیت و حریم شخصی موبایل IBM T. J فکر می کند که برخی از ارتباطات مخفی می تواند اقدامی در جهت تلاش برای محافظت در برابر قطعی اتصال به اینترنت باشد. او گفت : " ممکن است شما فکر کنید که اپلیکشن می خواهد انعطاف پذیر تر باشد و بدون مشکل عمل کنند. که اگر خوب به آن فکر کنید در میابید که این موقعیت خوبی برای بهینه سازی است. "
تریپ همچنین به اتفاق اخیر اشاره کرد که در آن هکر های مخرب ابزار هایی را که به صورت عمومی منتشر شده که برای برنامه نویسان اپلیکیشن های آیفون ساخته شده اند را دستکاری کرده اند و در نتیجه کد مخرب به هر اپلیکیشنی که می سازند تزریق می شود. حتی درستکار ترین برنامه نویسان نیز می توانند در یک تجاوز به حریم شخصی دخیل شوند.
ثبت نظر