توریست مالزی
۲۷ مهر ۱۴۰۳
توریست مالزی – اگر نگرانید که بهواسطه گوشیتان جاسوسی شما را بکنند و دادهها و موقعیت مکانیتان را بیآنکه متوجه شوید به اشتراک بگذارند، احتمالا این گزارش برایتان نوعی هشدار به شمار میآید.
به گزارش ایندیپندنت، گروه تحقیقاتی «سایبرنیوز» (Cybernews) درمورد دادههای محرمانهای که پیوسته از تلفنهای جدید به سرورهای گوگل منتقل میشود، هشدار میدهد: «نمیتوانید به نظارتهای گوگل نه بگویید.» موضوع از این هم «نگرانکنندهتر» است، چراکه گوشی کدهای جدید را بهشکل تناوبی دانلود و اجرا میکند، که احتمالا بهلحاظ امنیتی خطرناک است.
گروه سایبرنیوز یکی از گوشیهای جدید «پیکسل ۹ پرو اکسال» را با حساب گوگل جدید و تنظیمات پیشفرض انتخاب کردند. سپس با روتکردن (Root) سیستم و از طریق روشی از شنود که بهعنوان «حمله مرد میانی» (Man-in-the-Middle) شناخته میشود، به فایلهای سیستم و پوشههای دادههای بین کاربر و سایت مقابل دسترسی پیدا کردند و آنها را رهگیری کردند. این گروه در میانه مسیر رفتوآمد اطلاعات قرار گرفت (proxied) و با در اختیار گرفتن اطلاعات درحال تبادل و گواهی امنیتی سفارشی، ارتباطات را رمزگشایی و بررسی کرد.
به گزارش فوربس، از آنجا که این آزمایش با حساب کاربری جدید و تنظیمات پیشفرض انجام شده بود، گروه تحقیقاتی دقیقا متوجه نشد که اگر کاربر تنظیمات حریم خصوصی و امنیتی را تغییر بدهد نتایج دیگری به دست میآید یا نه. اما با توجه به اینکه بیشتر کاربران عموما از تنظیمات پیشفرض استفاده میکنند، ارائه محافظت سطح بالا در این تنظیمات ضروری است.
محققان میگویند که «پیکسل ۹ پرو اکسال» هر ۱۵ دقیقه یکبار یک پیام به گوگل ارسال کرده و مکان دستگاه، نشانی ایمیل، شماره تلفن، وضعیت شبکه و سایر اطلاعات دورسنجی (تلهمتری) را به اشتراک گذاشته است. محققان دریافتند که این اطلاعات به پایانههای گوگل ازجمله مدیریت دستگاه، اجرای سیاستهای گوگل و گروهبندی تصاویر ارسال میشود. درمورد جزئیات دستگاه و شبکه و سایر دورسنجیها بهوضوح حساسیت وجود دارد، اما با توجه به ماهیت نفوذی ردیابیها و اینکه میتوانند وارد زندگی خصوصی ما بشوند، ارسال دادههای مکانی بسیار نگرانکننده است.
سایبرنیوز میگوید: «چنین حساسیتهایی را پیش از این وقتی شاهد بودیم که گوگل، ضمن حرکتی حاکی از پذیرش حریم شخصی کاربران، اعلام کرد که دیگر با استفاده از خدمات «تایملاین» (جدول زمانی کاربران) روی «مکانیاب گوگل» (Google Maps) اطلاعات مکاننمای فردی را جمعآوری نمیکند، بلکه چنین اطلاعاتی را صرفا روی دستگاه کاربر نگاه میدارد.» سایبرنیوز همچنین میگوید: «تقاضای دسترسی به اطلاعات موقعیت مکانی، حتی زمانی که مکانیاب یا جیپیاس خاموش است، بیپاسخ نمیماند و گوشی برای تخمین مکان به شبکههای اینترنت بیسیم (وایفای) اطراف دستگاه وصل میشود.»
درمورد دلیل جمعآوری این دادهها دلایل بسیاری وجود دارد. سایبرنیوز میگوید که یکی از دلایل آن تشخیص محل تصادف خودرو است که بهتازگی معرفی شده است. این گروه میافزاید، بهرغم آنکه مشخص نیست این تنظیمات چگونه اعمال شدهاند، اما کاربران باید از آنها باخبر باشند. نگرانی سایبرنیوز از این است که با سرویسهایی ارتباط برقرار شود که کاربر آنها را تایید نکرده است. برای مثال، کاربر میگوید برنامه (اپلیکیشن) دوربین را باز نکرده و عکس نگرفته است، اما پیکسل بهشکل دورهای، بیآنکه کاربر آن را تایید کند، به پایانههای مرتبط با گروهبندی عکس در گوگل اطلاعات میفرستد.
از مکانیاب و جمعآوری دادهها که بگذریم، سایبرنیوز میگوید که این دستگاه از گوگل میخواهد تا کد جدیدی اجرا کند که ممکن است خطر امنیتی به دنبال داشته باشد، زیرا مکان و سایر دادهها را جمعآوری میکند. پذیرش این خطر امنیتی بسیار مهمتر از جمعآوری اطلاعات است. البته هیچ مدرکی دال بر آسیبپذیری در برابر کد شخص ثالث، بهویژه در حالت روشن بودن گزینه «نقش محافظ» (Play Protect، پلی پروتکت) در دستگاه وجود ندارد.
با این حال، همیشه این احتمال هست که دشمنان باهوش از این شکافها برای منافع شخصیشان استفاده کنند. با توجه به سابقه گوگل در حفظ حریم خصوصی و جمعآوری دادهها، نگرانیهای کاربران درمورد حفظ حریم شخصی و دادهها خصوصی رو به افزایش است.
به گزارش ایندیپندنت، گروه تحقیقاتی «سایبرنیوز» (Cybernews) درمورد دادههای محرمانهای که پیوسته از تلفنهای جدید به سرورهای گوگل منتقل میشود، هشدار میدهد: «نمیتوانید به نظارتهای گوگل نه بگویید.» موضوع از این هم «نگرانکنندهتر» است، چراکه گوشی کدهای جدید را بهشکل تناوبی دانلود و اجرا میکند، که احتمالا بهلحاظ امنیتی خطرناک است.
گروه سایبرنیوز یکی از گوشیهای جدید «پیکسل ۹ پرو اکسال» را با حساب گوگل جدید و تنظیمات پیشفرض انتخاب کردند. سپس با روتکردن (Root) سیستم و از طریق روشی از شنود که بهعنوان «حمله مرد میانی» (Man-in-the-Middle) شناخته میشود، به فایلهای سیستم و پوشههای دادههای بین کاربر و سایت مقابل دسترسی پیدا کردند و آنها را رهگیری کردند. این گروه در میانه مسیر رفتوآمد اطلاعات قرار گرفت (proxied) و با در اختیار گرفتن اطلاعات درحال تبادل و گواهی امنیتی سفارشی، ارتباطات را رمزگشایی و بررسی کرد.
به گزارش فوربس، از آنجا که این آزمایش با حساب کاربری جدید و تنظیمات پیشفرض انجام شده بود، گروه تحقیقاتی دقیقا متوجه نشد که اگر کاربر تنظیمات حریم خصوصی و امنیتی را تغییر بدهد نتایج دیگری به دست میآید یا نه. اما با توجه به اینکه بیشتر کاربران عموما از تنظیمات پیشفرض استفاده میکنند، ارائه محافظت سطح بالا در این تنظیمات ضروری است.
محققان میگویند که «پیکسل ۹ پرو اکسال» هر ۱۵ دقیقه یکبار یک پیام به گوگل ارسال کرده و مکان دستگاه، نشانی ایمیل، شماره تلفن، وضعیت شبکه و سایر اطلاعات دورسنجی (تلهمتری) را به اشتراک گذاشته است. محققان دریافتند که این اطلاعات به پایانههای گوگل ازجمله مدیریت دستگاه، اجرای سیاستهای گوگل و گروهبندی تصاویر ارسال میشود. درمورد جزئیات دستگاه و شبکه و سایر دورسنجیها بهوضوح حساسیت وجود دارد، اما با توجه به ماهیت نفوذی ردیابیها و اینکه میتوانند وارد زندگی خصوصی ما بشوند، ارسال دادههای مکانی بسیار نگرانکننده است.
سایبرنیوز میگوید: «چنین حساسیتهایی را پیش از این وقتی شاهد بودیم که گوگل، ضمن حرکتی حاکی از پذیرش حریم شخصی کاربران، اعلام کرد که دیگر با استفاده از خدمات «تایملاین» (جدول زمانی کاربران) روی «مکانیاب گوگل» (Google Maps) اطلاعات مکاننمای فردی را جمعآوری نمیکند، بلکه چنین اطلاعاتی را صرفا روی دستگاه کاربر نگاه میدارد.» سایبرنیوز همچنین میگوید: «تقاضای دسترسی به اطلاعات موقعیت مکانی، حتی زمانی که مکانیاب یا جیپیاس خاموش است، بیپاسخ نمیماند و گوشی برای تخمین مکان به شبکههای اینترنت بیسیم (وایفای) اطراف دستگاه وصل میشود.»
درمورد دلیل جمعآوری این دادهها دلایل بسیاری وجود دارد. سایبرنیوز میگوید که یکی از دلایل آن تشخیص محل تصادف خودرو است که بهتازگی معرفی شده است. این گروه میافزاید، بهرغم آنکه مشخص نیست این تنظیمات چگونه اعمال شدهاند، اما کاربران باید از آنها باخبر باشند. نگرانی سایبرنیوز از این است که با سرویسهایی ارتباط برقرار شود که کاربر آنها را تایید نکرده است. برای مثال، کاربر میگوید برنامه (اپلیکیشن) دوربین را باز نکرده و عکس نگرفته است، اما پیکسل بهشکل دورهای، بیآنکه کاربر آن را تایید کند، به پایانههای مرتبط با گروهبندی عکس در گوگل اطلاعات میفرستد.
از مکانیاب و جمعآوری دادهها که بگذریم، سایبرنیوز میگوید که این دستگاه از گوگل میخواهد تا کد جدیدی اجرا کند که ممکن است خطر امنیتی به دنبال داشته باشد، زیرا مکان و سایر دادهها را جمعآوری میکند. پذیرش این خطر امنیتی بسیار مهمتر از جمعآوری اطلاعات است. البته هیچ مدرکی دال بر آسیبپذیری در برابر کد شخص ثالث، بهویژه در حالت روشن بودن گزینه «نقش محافظ» (Play Protect، پلی پروتکت) در دستگاه وجود ندارد.
با این حال، همیشه این احتمال هست که دشمنان باهوش از این شکافها برای منافع شخصیشان استفاده کنند. با توجه به سابقه گوگل در حفظ حریم خصوصی و جمعآوری دادهها، نگرانیهای کاربران درمورد حفظ حریم شخصی و دادهها خصوصی رو به افزایش است.