افشای یک خطر بزرگ: بیش از نیمی از اپلیکیشن های محبوب چینی رمزنگاری ایمن ندارند

تحقیقات اخیر نشان می دهد که بسیاری از اپلیکیشن های چینی موجود در مارکت های اندرویدی از رمزنگاری ایمن استفاده نمی کنند. پژوهشگران دانشگاه پرینستون و گروه Citizen Lab با بررسی دقیق هزار و 699 اپلیکیشن متوجه شدند که تقریباً نیمی از برنامه های موجود در فروشگاه Mi Store شیائومی از پروتکل های رمزنگاری ناامن استفاده می کنند؛ موضوعی که نگرانی های جدیدی درباره امنیت اطلاعات کاربران ایجاد کرده است.

مقایسه گوگل پلی و می استور؛ اختلافی چشمگیر

در حالی که تنها 3.51 درصد از اپ های گوگل پلی به رمزنگاری ضعیف متکی هستند، این رقم در مورد برنامه های Mi Store به 47.6 درصد می رسد. این آمار نشان می دهد فروشگاه اپلیکیشن شیائومی بیش از ده برابر نسبت به گوگل پلی، اپلیکیشن های ناامن دارد. چنین تفاوتی در سطح امنیتی می تواند تهدیدات جدی برای حریم خصوصی کاربران، به ویژه در بازارهای آسیایی ایجاد کند.

محققان با استفاده از یک ابزار اختصاصی، 9 سیستم رمزنگاری رایج در اپلیکیشن های اندرویدی را مهندسی معکوس کردند. نتیجه گیری آنها نگران کننده بود: 8 سیستم از این 9 مورد، ترافیکی تولید می کردند که به راحتی توسط مهاجمان سایبری قابل رمزگشایی بود. این موضوع به ویژه برای کاربرانی که داده های حساسی مانند اطلاعات بانکی یا مکالمات خصوصی را از طریق این اپلیکیشن ها ارسال می کنند، بسیار خطرناک است.

هرچه محبوب تر، ناامن تر!

یکی از عجیب ترین یافته های این تحقیق، رابطه معکوس بین محبوبیت اپلیکیشن ها و امنیت آنها بود. در واقع، اپلیکیشن هایی با بیش از یک میلیارد بار دانلود، در 67.2 درصد موارد از رمزنگاری ناامن استفاده کرده بودند. در مقایسه، تنها 40.8 درصد از اپلیکیشن هایی با کمتر از 50 میلیون بار دانلود چنین مشکلی داشتند. این یافته نشان می دهد که حتی اپلیکیشن های بزرگ و پرکاربرد نیز از امنیت قابل قبولی برخوردار نیستند.

در اکثر موارد، به جای استفاده از پروتکل TLS (Transport Layer Security) که استاندارد طلایی برای رمزنگاری ارتباطات اینترنتی محسوب می شود، اپلیکیشن ها از روش های اختصاصی و ضعیف تر رمزنگاری بهره می بردند. این روش ها معمولاً نه تنها کمتر تست شده اند، بلکه امکان رخنه پذیری بیشتری دارند و در برابر حملات MITM (مرد میانی) بسیار آسیب پذیرند.

با توجه به اینکه اپلیکیشن های چینی سهم زیادی از بازار جهانی دارند، به ویژه در کشورهای در حال توسعه، این ضعف امنیتی می تواند داده های میلیون ها کاربر در سراسر جهان را به خطر بیندازد. از سوی دیگر، شهروندان چینی که اغلب به استفاده از اپ های بومی وابسته اند، بیش از همه در معرض این تهدیدات قرار می گیرند.

لزوم شفاف سازی توسط توسعه دهندگان چینی

کارشناسان امنیت دیجیتال خواستار پاسخگویی فوری شرکت های چینی و ارتقای زیرساخت های رمزنگاری در اپلیکیشن هایشان شده اند. همچنین پیشنهاد شده است که مارکت های اپلیکیشن مانند Mi Store سیاست های سخت گیرانه تری برای تأیید برنامه ها اتخاذ کنند و استفاده از رمزنگاری استاندارد را اجباری نمایند.

پس از انتشار این گزارش، بسیاری از کاربران در شبکه های اجتماعی ابراز نگرانی کرده اند. برخی از فعالان حوزه حریم خصوصی خواستار حذف اپ های ناامن از مارکت ها و ارائه هشدار به کاربران شده اند. برخی رسانه ها نیز این گزارش را هشداری برای بررسی دقیق تر مجوزها و سیستم های رمزنگاری اپ ها پیش از نصب دانسته اند.

انتظار می رود طی هفته های آینده فشارها بر دولت ها و مارکت ها برای اصلاح وضعیت امنیتی اپلیکیشن ها افزایش یابد. همچنین سازمان های تنظیم مقررات دیجیتال ممکن است الزاماتی جدید برای فروشگاه های اپلیکیشن در زمینه امنیت وضع کنند.

این تحقیق نشان داد که حتی در عصری که امنیت اطلاعات اهمیت بی سابقه ای پیدا کرده، بسیاری از اپلیکیشن های پرکاربرد همچنان از روش های ضعیف رمزنگاری استفاده می کنند. اگرچه این هشدار به ویژه درباره اپ های چینی بوده، اما زنگ خطری جهانی برای کاربران اندروید محسوب می شود.