مركز ماهر هشدار داد؛
خطر شنود در گوشیهای اندرویدی، سوءاستفاده از ضعف حسگر شتاب سنج
به گزارش آتی جو مركز ماهر نسبت به در معرض خطر بودن گوشیهای اندرویدی به حملات شنود از راه ضعف حسگر حركتی شتاب سنج این گوشیها اخطار داد.
به گزارش آتی جو به نقل از مركز ماهر، محققان امنیتی در اوایل ماه جاری، بیشتر از ۱۳۰۰ برنامه اندروید كشف كردند كه اطلاعات حساس كاربران را حتی بعد از رد مجوز دسترسی، جمع آوری می كنند. مطالعات نشان می دهد كه توسعه دهندگان این اپلیكیشن ها با استفاده از كانال های پنهان و جانبی، به جمع آوری اطلاعات مكان، شناسه های تلفن و آدرس های كاربران خود می پردازند. یكی از این حملات كه توسط گروهی از محققان امنیتی سایبری كشف شده است، می تواند به برنامه های مخرب اجازه دهد تا صداهای خارج شده از بلندگوهای گوشیهای هوشمند را بدون احتیاج به مجوز دستگاه، شنود كنند. این حمله كه «Spearphone» نامیده می شود، از یك حسگر حركتی مبتنی بر سخت افزار با نام شتاب سنج استفاده می نماید كه در اغلب دستگاه های اندروید وجود دارد. این سخت افزار می تواند بدون هیچ گونه محدودیتی توسط هر نرم افزاری كه روی یك دستگاه نصب شده است (حتی با مجوز صفر) دسترسی پیدا كند. شتاب سنج، یك حسگر حركتی است كه با اندازه گیری سرعت زمان تغییر، با عنایت به مقدار یا جهت، به برنامه های كاربردی، اجازه نظارت بر حركت دستگاه همچون شیب، لرزش و چرخش می دهد.
این حمله زمانی رخ می دهد كه قربانی، تماس تلفنی یا تماس ویدیویی را در حالت بلندگو قرار می دهد یا در حال گوش دادن به یك فایل رسانه ای است. از آنجایی كه بلندگوی داخلی یك گوشی هوشمند در سطحی یكسان با حسگرهای حركتی قرار دارد، هنگامی كه حالت بلندگو فعال می شود، صداهای بلندی را در بدنه گوشی تولید می كند و به این گونه حملات اجازه می دهد تا به آسانی، بعضی از خصوصیت های گفتاری كاربر ازجمله جنسیت (با دقت بیشتر از ۹۰درصد)، هویت (با دقت بیشتر از ۸۰درصد) و حتی كلمات را شناسایی كنند. خوشبختانه این حمله نمی تواند برای ضبط صدای كاربران یا محیط اطراف آن مورد استفاده قرار گیرد؛ چونكه به قدری قوی نیست كه بتواند بر سنسورهای حركتی گوشی تأثیر بگذارد. برای مقابله با چنین حملاتی، پلت فرم اندروید می تواند سیاست های كنترل دسترسی سختگیرانه ای را اجرا نماید كه استفاده از این سنسورها را محدود می كند. وجود یك سیاست كنترل دسترسی كنترل شده برای سنسورها و اجرای مدل مجوز استفاده صریح توسط برنامه ها، اغلب نمی تواند جلوی این حملات را بگیرد؛ چونكه خیلی از كاربران به مجوزهای خواسته شده توجه جدی نمی كنند. ساخت داخلی گوشی هوشمند باید بگونه ای باشد كه حسگرهای حركتی، از ارتعاشاتی كه به وسیله بلندگوهای گوشی ایجاد می شوند، عایق بندی شوند. یك راه برای اجرای این رویكرد این است كه اطراف بلندگوهای ساخته شده را از مواد ارتعاشی ناشی از لرزش هایی كه از بلندگوهای گوشی ایجاد می شوند، تخلیه یا خنثی كنند. به كاربران سفارش می شود كه برای محافظت از خود در مقابل این حمله، به برنامه هایی كه دانلود می كنند و وب سایت هایی كه هنگام بازدید از آنها احتیاج به استفاده از خصوصیت های بلندگو دارند، بسیار دقت كنند.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب