محققین دانشگاه Ulm آلمان نسبت به مشکلات امنیت اطلاعات بر روی گوشی های مجهز به سیستم عامل اندروید گوگل هشدار دادند.

این محققین به دنبال یافتن پاسخ برای این سؤال بودند:

آیا نقطه ضعفی امنیتی در سرویس های گوگل برای گوشی های اندروید وجود دارد که از طریق آن کسی بتواند هویت شما را جعل کرده و به اطلاعات شخصی شما دسترسی یابد؟

و پاسخ چنین بود: آری، و به سادگی!


از نظر فنی ریشه اصلی مشکل در نحوه کسب مجوز دسترسی برنامه های اندروید به سرویس های گوگل از طریق واسط برنامه نویسی ClientLogin گوگل است. به منظور استفاده از ClientLogin ، برنامه درخواست دریافت یک توکن تصدیق هویت (Authentication Token) را با ارسال نام کاربری و گذرواژه از طریق ارتباط امن https به سرویس های گوگل دریافت می دارد. توکن بازگشتی می تواند برای درخواست های بعدی از سرویس های گوگل مورد استفاده قرار بگیرد و این توکن حداکثر تا دو هفته معتبر خواهد بود. اما اگر این توکن برای درخواست هایی که از طریق پروتکل رمزگذاری نشده http ارسال می شوند مورد استفاده قرار گیرد فرد متخاصم می تواند با شنود نمودن ارتباطات (از طریق برنامه هایی نظیر Wireshark) توکن را دریافت دارد. به دلیل آنکه توکن مربوطه مرتبط با session خاصی نیست و با اطلاعات ویژه وسیله مورد استفاده (گوشی، تبلت یا ...) نیز مرتبط نمی باشد فرد متخاصم می تواند با توکن به سرقت رفته از طریق وسیله دیگری با استفاده از واسط های برنامه نویسی سرویس های گوگل به اطلاعات شخصی قربانی دسترسی یابد.

به عنوان مثال سارق می تواند بطور کامل به تقویم، دفترچه تلفن و آلبوم های تحت وب تصاویر خصوصی کاربر گوگل دسترسی یابد و علاوه بر مشاهده اطلاعات حتی آنها را تغییر داده یا پاک نماید.

[براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد براي عضويت در سايت اينجا کليک کنيد]
  • و در صورتي که شما عضو سايت هستيد و لينكها مخفي هستند
    براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد]

    تصویر بالا: نحوه ارتباط میان کاربر، برنامه نصب شده و سرویس های گوگل با استفاده از ClientLogin

    نتایج آزمایش

    محققین دانشگاه Ulm حمله فوق را بر روی نسخه های گوناگونی از سیستم عامل اندروید و بر روی گوشی های مختلف مجهز به این نسخه ها آزمودند. در این آزمون سه برنامه اصلی خود گوگل یعنی تقویم گوگل (Google Calendar)، دفترچه تلفن گوگل (Google Contacts) و برنامه گالری (یا سرویس های همگام سازی (Synchronization) مرتبط با آنها) مورد استفاده قرار گرفتند.

    نسخه های اندروید مورد آزمون عبارت بودند از: نسخه 2.1 اندروید (گوشی HTC Nexus One)، نسخه 2.2 اندروید (گوشی های HTC Desire و HTC Nexus One)، نسخه 2.2.1 اندروید (گوشی HTC Incredible S)، نسخه 2.3.3 اندروید (HTC Nexus One)، نسخه 2.3.4 اندروید (گوشی های HTC Desire و HTC Nexus One) و نسخه 3.0 اندروید (تبلت Motorola Xoom)

    خلاصه نتایج آزمون در مورد استفاده از پروتکل امن https به شرح جدول زیر بود:


    نسخه اندرویدهمگام سازی تقویمهمگام سازی دفترچه تلفنهمگام سازی پیکاسا (گالری)3.0بلهبله؟2.3.4بلهبلهخیر2.3.3خیرخیرخیر2.2.1خیرخیرn/a2.2خیرخیرn/a2.1خیرخیرn/a

    بالا: استفاده از پروتکل امن https در برنامه های اندروید گوگل

    • همانطور که در جدول فوق مشاهده می شود تا نسخه 2.3.3 اندروید برنامه های تقویم و دفترچه تلفن گوگل درخواست های خود را از طریق پروتکل نا امن http ارسال می نمودند و بنابر این در مقابل حمله authToken آسیب پذیرند. بر اساس آمار توزیع نسخه های اندروید به تاریخ دوم می 2011 این آسیب پذیری 99.7 درصد گوشی های هوشمند اندروید را شامل می شود. در نسخه های 2.3 به بعد اندروید نیز برنامه گالری به همگام سازی تصاویر با آلبوم تحت وب پیکاسا مجهز شدند ارتباطات این برنامه نیز رمزگذاری نشده هستند.
    • از نسخه 2.3.4 اندروید به بعد برنامه های تقویم و دفترچه تلفن از ارتباط امن https استفاده می کنند اما همگام سازی پیکاسا هنوز از طریق پروتکل رمزگذاری نشده http انجام می شود.
    • توکن های مسروقه در آزمایش برای چندین روز معتبر بودند و حتی توکن برنامه تقویم به مدت 14 روز معتبر بود و بدین ترتیب افراد متخاصم می توانند با خیالی آسوده از این توکن ها در زمانها و مکان های گوناگون استفاده کنند.
    محققین یادآور شده اند که این آسیب پذیری مختص برنامه های استاندارد اندروید نبوده و هر برنامه اندروید یا برنامه دسکتاپی که از طریق ClientLogin به جای استفاده از پروتکل https از طریق پروتکل http به سرویس های گوگل دسترسی می یابد این آسیب پذیری را خواهد داشت.

    برای حل این مشکل تمامی برنامه های اندروید و سرویس های همگام سازی آنها باید به استفاده از پروتکل https روی آورند و حرکت به این سمت در برنامه های تقویم و دفترچه تلفن اندروید 2.3.4 به بعد توسط گوگل انجام شده است. همچنین بدیهیست که کاهش زمان بقای توکن authToken نیز می تواند در کاهش آسیب پذیری مؤثر باشد.

    توصیه به کاربران اندروید

    محققین دانشگاه Ulm موارد زیر را به کاربران اندروید توصیه می کنند:

    • سیستم عامل گوشی یا تبلت خود را در صورت امکان به آخرین نسخه اندروید ارتقاء دهید.
    • هنگامی که به شبکه های وای-فای باز متصل می شوید همگام سازی خودکار (Automatic Synchronization) را از طریق منوی Settings خاموش نمائید.
    • کاربران باید دستگاه خود را وادار کنند که شبکه وای-فای بازی را که قبلاً مورد استفاده قرار داده اند را فراموش کند تا از ارتباط مجدد خودکار به آن جلوگیری شود. برای این منظور کاربر باید با نگه داشتن انگشت بر روی نام شبکه گزینه "forget" را انتخاب نماید.
    • بهترین راه مصون ماندن کاربران این است که هنگام استفاده از برنامه هایی که از ارتباط http به جای https استفاده می کنند به شبکه های وای-فای باز متصل نشوند.


    موضوعات مشابه: