إثارة أمنية: تطبيقات أندرويد ترسل بيانات خاصة على الملأ
كاتب الموضوع
رسالة
MR.KHALID مــدـ#ـيــرـرـر آلمــنــ ـتــدى :
كيف تعرفت علينا : آخرعدد المساهمات : 438 نقاط : 12719 السٌّمعَة : 1 تاريخ التسجيل : 10/02/2010 العمر : 40 الموقع : السعودية-الرياض
موضوع: إثارة أمنية: تطبيقات أندرويد ترسل بيانات خاصة على الملأ الخميس مارس 03, 2011 11:20 pm
إثارة أمنية: تطبيقات أندرويد ترسل بيانات خاصة على الملأ 21-ربيع الأول-1432
يقول عالم في الحواسيب، أن الهواتف النقالة التي تعمل بنظام تشغيل أندرويد قد فشلت في تشفير البيانات المرسلة من وإلى تقويم فيسبوك وغوغل، وهذا قصور يمكن أن يهدد خصوصية مئات الملايين من المستخدمين.
قام البروفسور دان والاش [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] من جامعة رايس بتجربة بسيطة حين وصل متحسس حزم بيانات إلى شبكته وراقب المرور من وإلى مجموعة أندرويد الهاتفية عندما استخدم عدد من التطبيقات المتوفرة لمنصة جوال غوغل، لقد فاجأه ما رأى.
يسجل والاش على المدونة يوم الثلاثاء:"على سبيل المثال يقوم تطبيق الفيس بوك ببث كل شيء ما عدا ما يخص سلامة كلمة السر. هذا يعني أن جميع الرسائل الخاصة، والصور المحملة وعمليات أخرى هي متاحة للمتنصتين، حتى لو كان قد تم تهيئة الحساب لاستخدام إعدادات تشفير SSL المتاحة دائماً على الفيس بوك لمنع التطفل على الشبكات غير الآمنة. "
قال والاش لـ The Reg : " الأفراد الذين يستخدمون الفيس بوك يتعاملون معه بشكل صحيح أو خاطئ كشيء شخصي وخاص. مع الفيس بوك لا نجد كلمة سر تتحرك إلى الأمام أو الوراء، إلا أنه يوجد حركة مرور غير مشفرة، وهذا شيء ممتع لأنني مكّنت زبائني على الفيس بوك ويب من استخدام ميزة SSL الجديدة المفتوحة، ولكن هذا لا ينعكس في تطبيق الفيس بوك على الأندرويد."
وقد صرح متحدث باسم فيس بوك: "بعد طرح SSL للموقع لازلنا نفحص جميع منصات الفيس بوك، ونأمل أن نقدمها كخيار لمستخدمي الجوال لدينا في الشهور القليلة القادمة". وقد حذرت الشركة المستخدمين فطلبت منهم توخي الحذر عند استخدامهم شبكات الواي فاي Wi-Fi غير الآمنة، إلا أن ما يمكننا قوله هو أن الفيس بوك لم يتحدث بوضوح عن فشل تطبيقاته للهواتف الذكية في تشفير حركة المرور.
يظهر تقويم غوغل إهمال مشابه في تجربة والاش من خلال إرسال واستقبال البيانات. هذا يسمح للمتطفلين بالاطلاع على جدولك عندما يتم الدخول إلى الخدمة على شبكات غير آمنة.
وقد صرح متحدث باسم غوغل على الإنترنت: "نحن نخطط للبدء في تشفير المرور إلى تقويم غوغل على الأندرويد في إصدار صيانة قادم. عندما يكون ذلك ممكناً، ننصح باستخدام شبكات واي فاي مشفرة". ولكنه لم يصرح كم من الوقت سينتظر المستخدمون ذلك.
وجد والاش بعض التطبيقات الأخرى التي اتخذت نهج بطولي لخصوصية المستخدم. على سبيل المثال، يرسل تطبيق SoundHound song-recognition إحداثيات GPS الخاصة بالمستخدم إلى الخدمة في كل مرة يطرح فيها طلب، مع ذلك يعمل التطبيق بشكل جيد دون تلك المعلومات. تتعقب خدمة ShopSaavy نفس التفاصيل، ولكن على الأقل، ومع هذا التطبيق، يمكن القول أن موقع المستخدم الحقيقي يتعلق بالخدمة.
لم يرسل أي تطبيق من التطبيقات التي اختبرها والاش كلمات سر على الملأ.
بعد أن نشر والاش ما توصل إليه، تحدث الباحث سين سولفيان في F-Secure عن تقصير جديد في عروض SSL الفيس بوك، وهو يرى حسب تجاربه، أن تطبيقات الفيس بوك الفاسدة يمكن أن تعطل الميزة.