در معرض خطر بودن گوشیهای اندرويد به حملات شنود "SPEARPHONE"
محققان امنیتی در اوایل ماه جاری، بیش از 1300 برنامهی اندروید کشف کردند که اطلاعات حساس کاربران را حتی پس از رد مجوز دسترسی، جمعآوری میکنند. تحقیقات نشان میدهد که توسعهدهندگان این برنامهها، با استفاده از کانالهای پنهان و جانبی، به جمعآوری اطلاعات مکان، شناسههای تلفن و آدرسهای مک کاربران خود میپردازند. یکی از این حملات که توسط تعدادی از محققان امنیتی سایبری کشف شده است، میتواند به برنامههای مخرب اجازه دهد تا صداهای خارجشده از بلندگوهای گوشیهای هوشمند را بدون نیاز به مجوز دستگاه، شنود کنند. این حمله که "Spearphone" نامیده میشود، از یک سنسور حرکتی مبتنی بر سختافزار استفاده میکند که شتابسنج نامیده میشود و در اکثر دستگاههای اندروید وجود دارد. این سختافزار میتواند بدون هیچگونه محدودیتی توسط هر نرمافزاری که بر روی یک دستگاه نصب شده است (حتی با مجوز صفر) دسترسی پیدا کند. شتابسنج، یک سنسور حرکتی است که با اندازهگیری سرعت زمان تغییر، با توجه به مقدار یا جهت، به برنامههای کاربردی، اجازهی نظارت بر حرکت دستگاه ازجمله شیب، لرزش و چرخش میدهد. این حمله زمانی رخ میدهد که قربانی، تماس تلفنی یا تماس ویدیویی را در حالت بلندگو قرار میدهد یا در حال گوش دادن به یک فایل رسانهای است. از آنجایی که بلندگوی داخلی یک گوشی هوشمند در سطحی یکسان با سنسورهای حرکتی قرار دارد، هنگامی که حالت بلندگو فعال میشود، صداهای بلندی را در بدنهی گوشی تولید میکند و به اینگونه حملات اجازه میدهد تا بهسادگی، برخی از ویژگیهای گفتاری کاربر ازجمله جنسیت (با دقت بیش از 90٪) هویت (با دقت بیش از 80٪) و حتی کلمات را شناسایی کنند. خوشبختانه این حمله نمیتواند برای ضبط صدای کاربران یا محیط اطراف آن مورد استفاده قرار گیرد؛ زیرا به قدری قوی نیست که بتواند بر حسگرهای حرکتی گوشی تأثیر بگذارد. برای مقابله با چنین حملاتی، بسترهی اندروید میتواند سیاستهای کنترل دسترسی سختگیرانهای را اجرا کند که استفاده از این سنسورها را محدود میکند. وجود یک سیاست کنترل دسترسی کنترلشده برای سنسورها و اجرای مدل مجوز استفادهی صریح توسط برنامهها، اغلب نمیتواند جلوی این حملات را بگیرد؛ زیرا بسیاری از کاربران به مجوزهای خواستهشده توجه جدی نمیکنند. بنابراین، ساخت داخلی گوشی هوشمند باید به گونهای باشد که سنسورهای حرکتی، از ارتعاشاتی که به وسیلهی بلندگوهای گوشی ایجاد میشوند، عایقبندی شوند. یک راه برای اجرای این رویکرد این است که اطراف بلندگوهای ساختهشده را از مواد ارتعاشی ناشی از لرزشهایی که از بلندگوهای گوشی ایجاد میشوند، تخلیه یا خنثی کنند. به کاربران توصیه میشود که برای محافظت از خود در برابر این حمله، به برنامههایی که دانلود میکنند و وبسایتهایی که هنگام بازدید از آنها نیاز به استفاده از ویژگیهای بلندگو دارند، بسیار دقت کنند.