یک شرکت امنیتی هشدار داد برخی از برنامههای اندروید، کلیدها را ذخیره میکنند در حالیکه ضرورتی به این کار وجود ندارد و این موضوع میتواند منجر به نشت اطلاعات حساس و مهم و حتی گواهینامههای کاربران شود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان این شرکت امنیتی با یک ابزار مهندسی معکوس برای برنامههای کاربردی اندورید، تعدادی از برنامهها را مورد بررسی قرار داده و کشف کردند که این برنامهها کلیدهای کاربر را ذخیرهمیکنند. این ذخیرهسازی میتواند اطلاعات حساس و مهم سرویسهایی مانند توییتر، فلیکر و سرویس وب آمازون را تحتتأثیر قرار دهد و علاوهبر خطراتی که برای کاربران دارد برای شرکت سرویسدهنده نیز مشکلساز شود. محققان میگویند هرچند تعداد این برنامههای ناامن بسیار کم است ولی همین تعداد هم نگرانکننده است.
ابزار مهندسی معکوس برنامههای اندروید بهطور برخط قابل دستیابی است و توسط محققان امنیتی از آبانماه برای بررسی ۱۶ هزار برنامه اندروید مورد استفاده قرار گرفتهاست. درحالیکه بسیاری از این برنامهها حاوی کلید نبودند، ولی ۲۵۰۰ مورد از این برنامهها کلیدهای مربوط به سرویسهای ثالث را ذخیره میکردند.
محققان گفتند: «برخی از کلیدها بسیار خطرناک هستند و لازم است حتماً در برنامهها ذخیرهشوند مثلاً کلیدهای واسط برنامهنویسی گوگل ولی برخی دیگر لزومی ندارد در برنامهها ذخیره شوند.» در ادامه ۳۰۴ مورد از این برنامهها که کلیدها را ذخیره میکردند مسدود شدند.
به دنبال ذخیرهسازی کلیدها در این برنامهها، اطلاعات حساس حسابها ازجمله گواهینامههای اینستاگرام، تامبلر، دراپباکس به سرقت رفته و میتواند باعث توقف سرویسهای موردنظر شود. در یکی از برنامههایی که مورد تحلیل قرار گرفت، کلیدی ذخیرهسازی میشد که با استفاده از آن میشد به دادههای تمام کاربران دسترسی داشت. دادههایی که میشد به آنها دسترسی داشت شامل آدرس ایمیل پشتیبانی، مکالمات، شماره تماس و اطلاعات شخصی افراد بود.
به گزارش محققان امنیتی، ۱۰۲ مورد از کلیدهایی که در برنامههای ثالث ذخیرهمیشد، حسابهای توییتر را تحتتأثیر قرار میداد. محققان اشاره کردند توسعهدهندگان برنامههای اندروید باید پیش از طراحی برنامه بررسی کنند آیا نیازی به ذخیرهسازی کلیدهای API در داخل برنامه وجود دارد یا خیر و اگر لازم بود این کار را انجام دهند. محققان همچنین به توسعهدهندگان توصیهکردند استفاده از API ها را درک کنند و در مواقعی که فقط نیاز به خواندن/نوشتن کلید دارند، آن را در برنامه قرار نداده و ذخیره نکنند.
ذخیرهسازی کلیدها در سمت کارخواه در هر شرایطی ایدهای بسیار بد است، چرا که امکان دارد کاربر این کلید را پیدا کند و نحوه مبهمسازی آن خیلی هم مهم نباشد. سرویسهای ثالث نیز باید به توسعهدهندگان برنامه هشدار دهند تا کلیدها را در داخل برنامههای کاربردی خود ذخیرهنکنند.