ITanalyze

علی اصلان شهلا - مرکز مدیریت راهبردی افتای ریاست جمهوری اواخر اسفند ماه سال گذشته گزارشی را به نقل از شرکت کسپرسکی منتشر کرد که در آن آمده بود ایران هدف بیش ترین حملات و شایع ترین بدافزار های موبایلی قرار دارد. براساس این گزارش در سال 2018 میلادی به نسبت سال 2017 کاربران موبایل قریب به دو برابر افزایش داشته است که ایران دارای بیشترین حملات بوده است.

فعالیت بیشترین حجم بدافزار موبایلی در ایران را نمی‌توان تنها به سهل‌انگاری کاربران مربوط دانست و این موضوع نشان از وجود بسترها و روش‌های گسترده برای آلودگی دستگاه‌های تلفن همراه ایرانیان دارد. 
اگرچه بخشی از این بستر قاعدتا به دلیل نبود سواد کافی و بخش دیگری از آن به دلیل عدم برخورد قانونی مناسب با متخلفان است.
اما نگاه به مجموعه گزارش‌های کم‌سابقه مرکز ماهر، که جسورانه و به درستی به صورت عمومی منتشر شد، در سال گذشته نشان داد مارکت‌های ایرانی، یعنی همان‌هایی که باید در صدر آمادگی امنیتی و نقطه امن دانلود اپلیکیشن برای کاربران باشند، به بستری بزرگ برای فعالیت بدافزارها و جاسوس‌افزارهای موبایلی بدل شده‌اند. 
این در حالی است که به نظر می‌رسد اراده‌ای هم از سمت مدیران مارکت‌ها برای بررسی پیش از انتشار اپلیکیشن‌ها وجود ندارد.

 سواستفاده آنتی‌ویروس‌ها از یک میلیون ایرانی
گزارشی که مرکز ماهر در اواخر آذرماه منتشر کرد نشان می‌دهد بسیاری از اپلیکیشن‌های فارسی که مدعی ارایه خدمات آنتی‌ویروس هستند، نه تنها این خدمات را در عمل ارایه نمی‌کنند که به سواستفاده از کاربران می‌پردازند. 
بررسی 60 آنتی‌ویروس آندروییدی منتشر شده در مارکت‌های ایرانی در این گزارش نشان داد نه تنها هیچ کدام از آنها از کاربران در برابر ویروس‌ها محافظت نمی‌کنند، بلکه صرفا با هدف ارسال تبلیغات برای یک میلیون کاربرشان ساخته شده‌اند.
براساس این گزارش 60 آنتی‌ویروس با توجه به شباهت بالایی که به یکدیگر داشتند به هفت دسته تقسیم شدند. معنی این حرف این است که از 7 کد برنامه مشابه، 60 برنامه با اسامی متفاوت بیرون آمده تا علاوه بر افزایش آمارهای کاربری و رونق کاذب و غیرواقعی، هرچه بیشتر کاربر جذب شود.
نکته جالب دیگر این گزارش این است که عملکرد این آنتی‌ویروس‌ها شباهتی به عملکرد آنتی‌ویروس‌های معروف فعال در بازار ایران مانند Kaspersky، Avira و Avast ندارد. در واقع این 60 اپلیکیشن هیچ کدام عملکرد قابل قبول یک آنتی‌ویروس را ارایه نمی‌کنند و تقریبه همه چیز یک نمایش و ظاهرسازی است.
در این گزارش آمده است: برخی از یک پایگاه داده آفلاین استفاده می‌کنند که آن را به روز‌رسانی نمی‌کنند، برخی نیز فقط موارد بسیار اولیه همچون مجوزهای برنامه‌ها و یا فرمت فایل‌های ذخیره شده روی دستگاه را بررسی می‌کنند که این موارد از یک برنامه با عنوان آنتی‌ویروس قابل قبول نیست. برخی از آنها هم اساسا کاری انجام نمی‌دهند و صرفا با ظاهرسازی کاربر را فریب می‌دهند که کار آنتی‌ویروس یا خنک کننده پردازنده را انجام می‌دهند.
در این لیست اسامی چون «آنتی‌ویروس پیشرفته» با بیش از 200 هزار نصب و «ویروس پاک کن با امنیت بالا» با 50 هزار نصب تا «آنتی‌ویروس قدرتمند اریکه» با 100 نصب به چشم می‌خورد.
نکته دیگر این که برخی از آنتی‌ویروس‌ها با کد یکسان بیش از 15 بار روی مارکت‌های ایرانی منتشر شده‌اند. به این معنی که 15 بار مدیران مارکت‌های ایرانی، ظاهرا فریب عملکرد و نام این برنامه‌ها را خورده و هربار سهوا یا عمدا یک اپلیکیشن مشابه با نام متفاوت منتشر کرده‌اند.
متاسفانه بسیاری از این آنتی‌ویروس‌ها عملکرد درستی برای تشخیص بدافزارهای اندروییدی ندارند و همه هفت دسته‌ای که بررسی شدند یا کاملا بدون هیچ تحلیلی هستند و یا تحلیل بسیار ابتدایی دارند که قابل قبول نیست و نمی‌تواند از دستگاه آندروییدی در برابر تهدیدات دفاع کند.
یکی از شبکه‌های اجتماعی محبوب در ایران اینستاگرام است. برنامه‌های زیادی با نام‌های «فالوئریاب»، «لایک بگیر»، «آنفالویاب» و عناوین مشابه برای ارائه خدمات جانبی به کاربران اینستاگرامی در مارکت‌های داخلی منتشر شده است. همانطور که نام برنامه‌ها نشان می‌دهد، هدف برنامه‌ها عمدتا گرفتن فالوئر و لایک و ... برای کاربران اینستاگرام است. پیشتر در مهرماه ۱۳۹۷، اخطاری توسط مرکز ماهر با عنوان (هشدار مرکز ماهر در خصوص برنامه‌های مرتبط با اینستاگرام) منتشر شد. در این گزارش جزییات بیشتر این بررسی ارایه می‌شود. اگرچه با توجه به زمان سپری شده از آغاز بررسی‌های فنی،‌ ممکن است تغییراتی در اپلیکیشن‌های مذکور و اطلاعات انتشار یافته صورت پذیرفته باشد.‬‬

 شناسایی 50 برنامه سارق در بررسی 200 برنامه اینستاگرامی
مرکز ماهر اوایل دی ماه نیز گزارش روشنگرانه دیگری را به صورت عمومی منتشر کرد. در این گزارش و در بررسی انجام شده بیش از 200 برنامه آندرویدی که خدمات مرتبط با اینستاگرام ارایه می‌دهند از مارکت‌های داخلی جمع آوری و بررسی شد. 
از این میان حدود 100 برنامه برای ارایه خدمات نیاز به ورود به حساب اینستاگرام کاربر داشتند. در بین این برنامه‌ها بیش از 50 برنامه سارق اطلاعات کاربران شناسایی شد. این برنامه‌ها نام کاربری و رمز عبور اینستاگرامی کاربر را به روش‌های مختلف استخراج کرده و به سرور توسعه‌دهندگان ارسال می‌کردند. با توجه به آمار نصب‌های این برنامه‌ها به‌صورت تخمینی اطلاعات بیش از یک میلیون کاربر اینستاگرام در ایران در اختیار تولیدکنندگان این برنامه‌ها قرار گرفته است.
بسیاری از برنامه‌های دیگر (از بین 100 برنامه) نیز با وجود اینکه به کاربران اطمینان می‌دادند که به رمز عبور آن‌ها دسترسی ندارند ولی با استفاده از روش‌هایی، رمز عبور را استخراج می‌کردند. برای این دسته از برنامه‌ها شواهدی از ارسال رمز عبور به سرور خود برنامه‌ها مشاهده نشد و به همین دلیل این برنامه‌ها در لیست برنامه‌های سارق ذکر نشده‌اند. 
متاسفانه از بین حدود 100 برنامه بررسی شده تقریبا نیمی از آنها سارق بودند و اکثر برنامه‌های باقیمانده نیز حداقل رمز عبور اینستاگرام کاربر را استخراج می‌کردند (هرچند شواهدی مبنی بر سرقت کامل یافت نشد) و از این نظر این برنامه‌ها در کل خطر بالایی دارند و بهتر است که فروشگاه‌های آندرویدی پیش از انتشار چنین برنامه‌هایی (که نیاز به ورود به حساب کاربری اینستاگرام دارند) بررسی دقیق‌تری داشته باشند.
در این تحقیق تمام برنامه‌های آندرویدی مارکت‌های داخلی از این نوع بررسی نشدند و فقط یک مجموعه دویست‌تایی از برنامه‌ها به عنوان مشتی نمونه خروار، جمع‌آوری و تحلیل شدند. در نتیجه احتمالا برنامه‌های سارق بیشتری در مارکت‌ها حضور دارند.
این گزارش تاکید می‌کند که شماری از این اپلیکیشن‌ها حذف شده‌اند.

 بازی‌هایی که امنیت را به بازی گرفته‌اند
نیمه دی ماه نوبت به انتشار گزارش مرکز ماهر در خصوص بازی‌های موجود در کافه‌بازار رسید.
بازی‌های قدیمی کنسول، دسته‌ای از برنامه‌های موجود در فروشگاه‌های آندرویدی هستند که به دلیل خاطره‌انگیز بودن آن‌ها، در بین کاربران آندرویدی طرفداران زیادی دارد. برای اجرای این بازی‌های قدیمی در محیط آندروید لازم است شبیه‌سازی به منظور پیاده‌سازی و اجرای بازی وجود داشته باشد. 
این فایل شبیه‌ساز اغلب در فایل نصبی برنامه (فایل apk) قرار دارد و پس از نصب، از کاربر خواسته می‌شود تا برنامه شبیه‌ساز را نصب کنند. با تایید کاربر، فایل ثانویه شبیه‌ساز روی دستگاه نصب شده و کاربر می‌تواند بازی کنسول را روی دستگاه آندرویدی خود اجرا کند. متاسفانه همین فرآیند به ظاهر ساده، یکی از ترفندهای مهاجمان برای سواستفاده از دستگاه کاربران و مخفی کردن رفتار مخرب خود است. 
از آنجا که در اغلب این برنامه‌ها، فایل مربوط به شبیه‌ساز، بدون پسوند apk در پوشه‌های جانبی برنامه اصلی قرار داده شده است، در بررسی‌های امنیتی برنامه، توسط فروشگاه‌های آندرویدی، به وجود چنین فایلی توجه نمی‌شود و فایل شبیه‌ساز مورد بررسی قرار نمی‌گیرد. در مجوزهای نمایش داده شده در فروشگاه‌های آندرویدی نیز، تنها به مجوزهای فایل اولیه اشاره شده است و مجوزهایی که شبیه‌ساز از کاربر می‌گیرد، ذکر نمی‌شود. این فرصتی است که مهاجم با استفاده از آن می‌تواند رفتار مخرب موردنظر خود را در این فایل مخفی کرده و بدافزار را در قالب برنامه‌ای سالم در فروشگاه آندرویدی منتشر سازد. 
علاوه بر این، فایل شبیه‌ساز پس از نصب آیکون خود را مخفی کرده و کاربران عادی قادر به شناسایی و حذف آن نخواهند بود. نکته تاسف‌برانگیز آنکه حتی با حذف برنامه اصلی نیز، فایل شبیه‌ساز حذف نشده و پایگاه ثابتی روی دستگاه قربانی برای مهاجم ایجاد خواهد شد. 
رفتار مخرب مربوط به این برنامه‌ها، که عموما ساختاری یکسان و تکراری دارند را می‌توان به سه دسته تقسیم کرد:

* استفاده از سرویس‌های تبلیغاتی، علاوه بر سرویس‌های تبلیغاتی موجود روی برنامه اصلی
* دانلود و نصب برنامه‌های دیگر (بدافزار یا برنامه‌های دارای سرویس‌های ارزش افزوده)
* جاسوسی و ارسال اطلاعات کاربر به مهاجم.
در این گزارش آمده است که پس از بررسی‌های مرکز ماهر، کافه بازار تمام بازی‌های متخلف را حذف کرده است. 

 سامسونگ در مقابل مارکت‌های ایرانی
اسفند سال گذشته مدیران سامسونگ با سازمان فناوری اطلاعات برای تغییر یک بند در شرایط گارانتی این شرکت به توافق رسیدند. ماجرا این بود که یکی از شرایط گارانتی گوشی‌های سامسونگ در ایران، ظاهرا مشکلاتی برای برخی مصرف‌کنندگان این گوشی ایجاد می‌کرد. این شرکت چندین بند را به عنوان مواردی که گوشی را از گارانتی خارج می‌کند، در بخش سیاست گارانتی و قسمت «چه مواردی شامل گارانتی نمی‌شود؟» ذکر کرده بود که براساس یکی از آنها، نصب برخی برنامه‌ها، از جمله بسیاری از برنامه‌های ایرانی، می‌توانست گارانتی گوشی را به طور کل باطل کند. در این بند آمده بود: «خرابی ناشی از نصب هرگونه نرم‌افزار و برنامه‌های متفرقه که مورد تایید شرکت سامسونگ نباشد».
براساس اعلام مدیران سازمان فناوری اطلاعات، سامسونگ در دفاع از این بند گزارش 40 صفحه‌ای مفصلی را ارایه کرده بود که این گزارش نشان می‌داد برنامه‌های مخربی در مارکت‌های موبایلی ایرانی در دسترس قرار دارد و این برنامه‌ها آسیب زیادی به گوشی می‌زنند. هرچند امین امیرشریفی مدیرعامل کافه بازار در واکنش به این گزارش صرفا با انتشاری یک توییت مدعی شد سامسونگ هیچ مدرکی مبنی بر این که اپلیکیشن‌ها مقصر خرابی هستند به کاربران ارایه نمی‌کند.

 چرا مارکت‌ها اپلیکیشن‌ها را بررسی نمی‌کنند؟
اکنون مهم‌ترین سوال این است که چرا مارکت‌های ایرانی از بررسی دقیق اپلیکیشن‌ها پیش از انتشار خودداری می‌کنند؟ 
از یک سو عمده کاربران ایرانی هنوز از سواد کافی امنیت سایبری برخوردار نیستند. از سوی دیگر تحریم‌ها، موقعیتی نسبتا انحصاری برای مارکت‌های ایرانی به ویژه کافه بازار فراهم کرده و در نتیجه این مارکت‌ها نیاز چندانی نمی‌بیندد که در خصوص اعتمادسازی و بررسی اپلیکیشن‌ها هزینه زیادی کنند. 
در نتیجه طبیعی است که ترجیح دهند هزینه لازم برای بررسی اپلیکیشن‌ها را در جیب خود نگه دارند. تئوری‌های بدبینانه‌تری نیز البته مطرح است که فعلا مدرکی برای اثبات آنها وجود ندارد و شاید در آینده بتوان درباره این موارد شفاف‌تر نوشت. (منبع:فناوران)