١٠ مشکل امنیتی که گوشی موبایل شما را به خطر میاندازند
وقتی درباره امنیت صحبت میکنیم، اکثر ابزارهای موبایل بهعنوان هدفهای آسانی برای هک شدن در نظر گرفته میشوند. این دیدگاه، نتیجهگیری دفتر پاسخگویی دولت (Government Accountability Office یا بهطور خلاصه GAO) است که بهتازگی گزارش خود در رابطه با وضعیت امنیتی ابزارهای موبایل را در اختیار کنگره آمریکا قرار داد. گزارش مذکور لیستی از آسیبپذیریهای موبایل را معرفی میکند که اعتقاد دارد در بین تمام ابزارهای موبایل مشترک هستند و در عین حال راهحلهای احتمالی را برای این نقطهضعفها ارایه مینماید.
١ – معمولا هیچ معیار امنیتی روی ابزارهای موبایل فعال نشده است. این ابزارها غالبا از کلمات عبور برای تایید هویت کاربران و کنترل دسترسی به دادههای ذخیره شده روی ابزار استفاده نمیکنند. اکثر قریب به اتفاق ابزارهای موبایل امروزی، قابلیتهای فنی برای پشتیبانی از کلمات عبور شامل شماره شناسایی شخصی (PIN) و یا قفل ترسیمی صفحه نمایشرا برای شناسایی صاحب ابزار ارایه میکنند. بهعلاوه، بعضی از ابزارها یک اسکنر بیومتریک برای اسکن اثر انگشت دارند. اما اطلاعات بهدست آمده نشان میدهند که مصرفکنندگان بهندرت از این مکانیزمها استفاده میکنند. همچنین، کلمه عبور یا PIN استفاده شده توسط کاربران (البته اگر از آن استفاده کنند) غالبا بهراحتی قابل تشخیص یا دور زدن است، مانند 1234 یا 0000. بدون استفاده از کلمه عبور یا PIN برای قفل کردن ابزار، ریسک دسترسی یک کاربر غیرمجاز به اطلاعات گوشیهای سرقتی یا گم شده، افزایش مییابد. چنین فردی میتواند اطلاعات حساس را مشاهده کرده و از ابزارهای موبایل سو استفاده نماید.
٢ – ابزارهای موبایل غالبا در هنگام اجرای تراکنشهای حساس از اعتبارسنجی دو مرحلهای استفاده نمیکنند. براساس مطالعات انجام شده، کاربران غالبا در حین انجام تراکنشهای حساس آنلاین، بجای اعتبارسنجی دو مرحلهای از کلمات عبور ثابت استفاده میکنند. برخی از ریسکهای امنیتی استفاده از کلمات عبور ثابت برای اعتبارسنجی، عبارتند از: کلمات عبور قابل حدس زدن هستند، فراموش میشوند، احتمال استراقسمع آنها وجود دارد و نهایتا این که کلمات عبور «یادداشت شده» قابل سرقت هستند. اعتبارسنجی دو مرحلهای سطح بالاتری از امنیت را نسبت به راهکارهای سنتی مانند کلمات عبور و PINها فراهم میکند. این محافظت ارتقا یافته میتواند برای تراکنشهای حساس، مهم باشد. در سیستم اعتبارسنجی دو مرحلهای، کاربران پیش از آنکه دسترسی مورد نظر خود را بهدست آورند، ملزم به تایید اعتبار خود با استفاده از حداقل دو «عامل» متفاوت هستند. این عوامل میتوانند چیزی که آنها میدانند، چیزی که دارند و یا چیزی که هستند، باشند. عامل دوم در بعضی از رویههای اعتبارسنجی میتواند ابزار موبایل باشد. ابزار موبایل میتواند کدهای عبور (Pass Code) را تولید کرده و یا آنها را از طریق یک پیام متنی دریافت نمایند. بدون اعتبارسنجی دو مرحلهای، ریسک دسترسی غیرمجاز به اطلاعات حساس و سواستفاده از ابزارهای موبایل افزایش مییابد.
٣ – نقل و انتقالات بیسیم همیشه رمزنگاری نمیشوند. اطلاعاتی مانند ایمیلهایی که توسط یک ابزار موبایل ارسال میشوند، معمولا در هنگام انتقال رمزنگاری نشدهاند. از سوی دیگر، بسیاری از اپلیکیشنها دادهها را هنگام ارسال روی شبکه رمزگذاری نمیکنند، بنابراین قطع مسیر دادهها (توسط هکر) آسانتر خواهد بود. برای مثال، اگر یک اپلیکیشن مشغول انتقال داده روی یک شبکه Wi-Fi ناامن و با استفاده از http (بجای https) باشد، مسیر انتقال داده میتواند به راحتی قطع شود. وقتی یک انتقال بیسیم رمزنگاری نشده باشد، دادهها به آسانی قابل رهگیری و استراقسمع هستند.
۴ – ابزارهای موبایل میتوانند حاوی بدافزار (Malware) باشند و امکان دانلود اپلیکیشنهای حاوی بدافزار توسط مصرفکنندگان نیز وجود دارند. مصرفکنندگان بدافزارها را ناآگاهانه دانلود میکنند زیرا آنها وانمود میکنند که یک بازی، وصله امنیتی، یوتیلیتی و یا نوع دیگری از اپلیکیشنهای مفید هستند. تشخیص تفاوت میان یک اپلیکیشن قانونی و اپلیکیشنهایی که حاوی بدافزار هستند، برای کاربران دشوار است. برای مثال، ممکن است کاربر سهوا اپلیکیشنی که حاوی یک بدافزار است را روی ابزار موبایل خود دانلود کند. به این ترتیب، امکان استراقسمع آسان دادهها برای هکر فراهم میشود. وقتی یک انتقال بیسیم رمزنگاری نشده باشد، هکرها بهآسانی میتوانند دادهها را استراقسمع نموده و احتمالا به اطلاعات محرمانهای دسترسی غیرمجاز پیدا کنند.
۵ – ابزارهای موبایل غالبا از یک اپلیکیشن امنیتی استفاده نمیکنند. بسیاری از ابزارهای موبایل فاقد نرمافزار امنیتی از پیش نصب شده برای محافظت در برابر کدهای مخرب و حملات هستند. بهعلاوه، کاربران نیز به ندرت یک نرمافزار امنیتی را روی ابزار خود نصب میکنند. اگرچه نصب این نرمافزارها میتواند عملکرد بعضی از ابزارهای موبایل را کاهش داده و بر عمر مفید باتری تاثیر بگذارد، اما بدون آنها ریسک آلوده شدن ابزار به بدافزارهایی مانند ویروسها، تروجانها، جاسوسافزارها و اسپم توسط مهاجم افزایش مییابد. چنین بدافزارهایی میتوانند کاربران را به افشای کلمات عبور و سایر اطلاعات حساسشان ترغیب کنند.
۶ – سیستمهای عامل ابزارها میتوانند قدیمی باشند. کاربران معمولا وصلههای امنیتی و یا اصلاحیههای سیستمهای عامل موبایل را بهطور منظم روی ابزارهای خود نصب نمیکنند. اعمال بهروزرسانیهای امنیتی روی ابزارهای کاربران ممکن است هفتهها یا حتی ماهها پس از انتشار آنها طول بکشد. بر حسب طبیعت آسیبپذیری، فرآیند ترمیم میتواند نسبتا پیچیده بوده و مستلزم اقداماتی از سوی چند طرف درگیر (تولیدکننده ابزار، توسعهدهنده سیستمعامل و کاربر) باشد.
همچنین ممکن است بهروزرسانیهای امنیتی را برای ابزارهای موبایلی که دو سال از عمر آنها میگذرد دریافت نکنیم، زیرا تولیدکنندگان احتمالا دیگر از این محصولات پشتیبانی نمیکنند. بسیاری از تولیدکنندگان، پشتیبانی از ابزارهای موبایل را تنها ١٢ تا ١٨ ماه پس از تولید آنها ادامه میدهند. اگر این تولیدکنندگان اقدام به انتشار وصلههای امنیتی برای آسیبپذیریهایی که جدیدا کشف شدهاند نکنند، محصولات مذکور با ریسک بالاتری مواجه خواهند بود.
٧ – ممکن است نرمافزارهای نصب شده روی ابزارهای موبایل، قدیمی باشند. وصلههای امنیتی برای اپلیکیشنهای طرف ثالث همیشه بهطور منظم تولید و توزیع نمیشوند. اپلیکیشنهای موبایل طرف ثالث مانند مرورگرهای وب، وقتی بهروزرسانیهای تازهای برای آنها منتشر میشود، به کاربران اطلاع نمیدهند. برخلاف مرورگرهای وب سنتی، مرورگرهای موبایل بهندرت بهروزرسانی میشوند. استفاده از نرمافزارهای قدیمی، خطر حمله با بهرهگیری از آسیبپذیریهایی مرتبط با آن ابزار را افزایش میدهد.
٨ – ابزارهای موبایل غالبا اتصالهای اینترنت را محدود نمیکنند. اکثر ابزارهای موبایل برای محدود کردن اتصالها، از فایروال استفاده نمیکنند. وقتی ابزار به یک شبکه WAN (Wide Area Network) متصل است، درگاههای ارتباطی آن برای اتصال به سایر ابزارها و اینترنت مورد استفاده قرار میگیرند. یک هکر میتواند از طریق یک درگاه محافظت نشده به ابزار موبایل دسترسی پیدا کند. در اینجا میتوانیم با استفاده از یک فایروال، از این درگاهها محافظت کرده و به کاربر امکان دهیم که انتخاب کند میخواهد چه اتصالهایی اجازه ورود به ابزار موبایل را داشته باشند. بدون برپایی یک فایروال، ابزار در برابر حمله از طریق یک درگاه ارتباطی ناامن، باز مانده و هکر میتواند به اطلاعات حساس روی ابزار دسترسی داشته و از آنها سو استفاده نماید.
٩ – ممکن است ابزارهای موبایل تحت دستکاریهای غیرمجاز قرار گیرند. فرآیند تقویت یک ابزار موبایل بهمنظور حذف محدودیتها بهصورتی که کاربر بتواند ویژگیهایی را به آنها اضافه کند، تنظیمات پیشفرض مدیریت امنیت ابزار را تغییر داده و میتواند باعث افزایش ریسکهای امنیتی شود. فرآیندهای مذکور که تحت عنوان Rooting یا Jailbreaking شناخته میشوند به کاربران امکان میدهند طوری به سیستم عامل ابزار دسترسی داشته باشند که اجازه نصب یا تغییر اپلیکیشنها و توابع نرمافزاری غیرمجاز را صادر نموده و یا این که محدودیت گوشی خود به یک اپراتور خاص را از بین ببرند.
١٠ – در گزارش GAO آمده است که اتصال به یک شبکه Wi-Fi رمزنگاری نشده میتواند به مهاجم اجازه دهد به اطلاعات شخصی در یک ابزار دسترسی پیدا کند که ریسک سرقت هویت و دادهها را افزایش میدهد.