١٠ مشکل امنیتی که گوشی موبایل شما را به خطر می‌اندازند

وقتي درباره امنيت صحبت مي‌كنيم، اکثر ابزارهای موبایل به‌عنوان هدف‌های آسانی برای هک شدن در نظر گرفته می‌شوند. این دیدگاه، نتیجه‌گيری دفتر پاسخگویی دولت (Government Accountability Office یا به‌طور خلاصه GAO) است که به‌تازگی گزارش خود در رابطه با وضعیت امنیتی ابزارهای موبایل را در اختیار كنگره آمريكا قرار داد. گزارش مذکور لیستی از آسیب‌پذیری‌های موبایل را معرفی می‌کند که اعتقاد دارد در بین تمام ابزار‌های موبایل مشترک هستند و در عين حال راه‌حل‌های احتمالی را برای اين نقطه‌ضعف‌ها ارايه می‌نمايد.

١٠ مشکل امنیتی که گوشی موبایل شما را به خطر می‌اندازند

١ – معمولا هیچ معیار امنیتی روی ابزارهای موبایل فعال نشده است. این ابزارها غالبا از كلمات عبور برای تایید هویت كاربران و كنترل دسترسی به داده‌های ذخیره شده روی ابزار استفاده نمی‌کنند. اکثر قریب به اتفاق ابزارهای موبایل امروزی، قابلیت‌های فنی برای پشتیبانی از كلمات عبور شامل شماره شناسایی شخصی (PIN) و یا قفل ترسیمی صفحه نمایشرا برای شناسایی صاحب ابزار ارایه می‌کنند. به‌علاوه، بعضی از ابزارها یک اسكنر بیومتریک برای اسکن اثر انگشت دارند. اما اطلاعات به‌دست آمده نشان می‌دهند كه مصرف‌كنندگان به‌ندرت از این مكانیزم‌ها استفاده می‌كنند. همچنین، كلمه عبور یا PIN استفاده شده توسط کاربران (البته اگر از آن استفاده کنند) غالبا به‌راحتی قابل تشخیص یا دور زدن است، مانند 1234 یا 0000. بدون استفاده از كلمه عبور یا PIN برای قفل کردن ابزار، ریسک دسترسی یک کاربر غیرمجاز به اطلاعات گوشی‌های سرقتی یا گم شده، افزایش می‌یابد. چنین فردی می‌تواند اطلاعات حساس را مشاهده كرده و از ابزارهای موبایل سو استفاده نماید.

٢ – ابزارهای موبایل غالبا در هنگام اجرای تراکنش‌های حساس از اعتبارسنجی دو مرحله‌ای استفاده نمی‌کنند. براساس مطالعات انجام شده، کاربران غالبا در حین انجام تراكنش‌های حساس آنلاین، بجای اعتبارسنجی دو مرحله‌ای از كلمات عبور ثابت استفاده می‌كنند. برخی از ریسک‌های امنیتی استفاده از كلمات عبور ثابت برای اعتبارسنجی، عبارتند از: كلمات عبور قابل حدس زدن هستند، فراموش می‌شوند، احتمال استراق‌سمع آن‌ها وجود دارد و نهایتا این که کلمات عبور «یادداشت شده» قابل سرقت هستند. اعتبارسنجی دو مرحله‌ای سطح بالاتری از امنیت را نسبت به راه‌کارهای سنتی مانند كلمات عبور و PINها فراهم می‌کند. این محافظت ارتقا یافته می‌تواند برای تراکنش‌های حساس، مهم باشد. در سیستم اعتبارسنجی دو مرحله‌ای، کاربران پیش از آن‌كه دسترسی مورد نظر خود را به‌دست آورند، ملزم به تایید اعتبار خود با استفاده از حداقل دو «عامل» متفاوت هستند. این عوامل می‌توانند چیزی كه آن‌ها می‌دانند، چیزی كه دارند و یا چیزی كه هستند، باشند. عامل دوم در بعضی از رویه‌های اعتبارسنجی می‌تواند ابزار موبایل باشد. ابزار موبایل می‌تواند كدهای عبور (Pass Code) را تولید کرده و یا آن‌ها را از طریق یک پیام متنی دریافت نمایند. بدون اعتبارسنجی دو مرحله‌ای، ریسک دسترسی غیرمجاز به اطلاعات حساس و سواستفاده از ابزارهای موبایل افزایش می‌یابد.

٣ – نقل و انتقالات بی‌سیم همیشه رمزنگاری نمی‌شوند. اطلاعاتی مانند ایمیل‌هایی كه توسط یك ابزار موبایل ارسال می‌شوند، معمولا در هنگام انتقال رمزنگاری نشده‌اند. از سوی دیگر، بسیاری از اپلیکیشن‌ها داده‌ها را هنگام ارسال روی شبكه رمزگذاری نمی‌كنند، بنابراین قطع مسیر داده‌ها (توسط هکر) آسان‌تر خواهد بود. برای مثال، اگر یک اپلیکیشن مشغول انتقال داده روی یك شبكه Wi-Fi ناامن و با استفاده از http (بجای https) باشد، مسیر انتقال داده می‌تواند به راحتی قطع شود. وقتی یک انتقال بی‌سیم رمزنگاری نشده باشد، داده‌ها به آسانی قابل رهگیری و استراق‌سمع هستند.

٤ - ابزارهای موبایل می‌توانند حاوی بدافزار (Malware) باشند و امکان دانلود اپلیکیشن‌های حاوی بدافزار توسط مصرف‌كنندگان نیز وجود دارند. مصرف‌كنندگان بدافزارها را ناآگاهانه دانلود می‌کنند زیرا آن‌ها وانمود می‌كنند كه یک بازی، وصله امنیتی، یوتیلیتی و یا نوع دیگری از اپلیکیشن‌های مفید هستند. تشخیص تفاوت میان یک اپلیکیشن قانونی و اپلیکیشن‌هایی که حاوی بدافزار هستند، برای کاربران دشوار است. برای مثال، ممكن است کاربر سهوا اپلیكیشنی كه حاوی یك بدافزار است را روی ابزار موبایل خود دانلود کند. به این ترتیب، امکان استراق‌سمع آسان داده‌ها برای هکر فراهم می‌شود. وقتی یک انتقال بی‌سیم رمزنگاری نشده باشد، هکرها به‌آسانی می‌توانند داده‌ها را استراق‌سمع نموده و احتمالا به اطلاعات محرمانه‌ای دسترسی غیرمجاز پیدا كنند.

٥ – ابزارهای موبایل غالبا از یک اپلیکیشن امنیتی استفاده نمی‌کنند. بسیاری از ابزارهای موبایل فاقد نرم‌افزار امنیتی از پیش نصب شده برای محافظت در برابر کدهای مخرب و حملات هستند. به‌علاوه، کاربران نیز به ندرت یک نرم‌افزار امنیتی را روی ابزار خود نصب می‌كنند. اگرچه نصب این نرم‌افزارها می‌تواند عملکرد بعضی از ابزارهای موبایل را کاهش داده و بر عمر مفید باتری تاثیر بگذارد، اما بدون آن‌ها ریسك آلوده شدن ابزار به بدافزارهایی مانند ویروس‌ها، تروجان‌ها، جاسوس‌افزارها و اسپم توسط مهاجم افزایش می‌یابد. چنین بدافزارهایی می‌توانند كاربران را به افشای كلمات عبور و سایر اطلاعات حساس‌شان ترغیب کنند.

٦ – سیستم‌های عامل ابزارها می‌توانند قدیمی باشند. کاربران معمولا وصله‌های امنیتی و یا اصلاحیه‌های سیستم‌های عامل موبایل را به‌طور منظم روی ابزارهای خود نصب نمی‌كنند. اعمال به‌روزرسانی‌های امنیتی روی ابزارهای کاربران ممکن است هفته‌ها یا حتی ماه‌ها پس از انتشار آن‌ها طول بكشد. بر حسب طبیعت آسیب‌پذیری، فرآیند ترمیم می‌تواند نسبتا پیچیده بوده و مستلزم اقداماتی از سوی چند طرف درگیر (تولیدکننده ابزار، توسعه‌دهنده سیستم‌عامل و کاربر) باشد.

همچنین ممكن است به‌روزرسانی‌های امنیتی را برای ابزارهای موبایلی که دو سال از عمر آن‌ها می‌گذرد دریافت نكنیم، زیرا تولیدكنندگان احتمالا دیگر از این محصولات پشتیبانی نمی‌کنند. بسیاری از تولیدكنندگان، پشتیبانی از ابزارهای موبایل را تنها ١٢ تا ١٨ ماه پس از تولید آن‌ها ادامه می‌دهند. اگر این تولیدكنندگان اقدام به انتشار وصله‌های امنیتی برای آسیب‌پذیری‌هایی كه جدیدا كشف شده‌اند نکنند، محصولات مذكور با ریسك بالاتری مواجه خواهند بود.

٧ – ممکن است نرم‌افزارهای نصب شده روی ابزارهای موبایل، قدیمی باشند. وصله‌های امنیتی برای اپلیکیشن‌های طرف ثالث همیشه به‌طور منظم تولید و توزیع نمی‌شوند. اپلیکیشن‌های موبایل طرف ثالث مانند مرورگرهای وب، وقتی به‌روزرسانی‌های تازه‌ای برای آن‌ها منتشر می‌شود، به كاربران اطلاع نمی‌دهند. برخلاف مرورگرهای وب سنتی، مرورگرهای موبایل به‌ندرت به‌روزرسانی می‌شوند. استفاده از نرم‌افزارهای قدیمی، خطر حمله با بهره‌گیری از آسیب‌پذیری‌هایی مرتبط با آن ابزار را افزایش می‌دهد.

٨ – ابزارهای موبایل غالبا اتصال‌های اینترنت را محدود نمی‌کنند. اکثر ابزارهای موبایل برای محدود کردن اتصال‌ها، از فایروال استفاده نمی‌کنند. وقتی ابزار به یك شبكه WAN ‏(Wide Area Network) متصل است، درگاه‌های ارتباطی آن برای اتصال به سایر ابزارها و اینترنت مورد استفاده قرار می‌گیرند. یک هکر می‌تواند از طریق یک درگاه محافظت نشده به ابزار موبایل دسترسی پیدا كند. در اینجا می‌توانیم با استفاده از یک فایروال، از این درگاه‌ها محافظت کرده و به کاربر امكان دهیم كه انتخاب كند می‌خواهد چه اتصال‌هایی اجازه ورود به ابزار موبایل را داشته باشند. بدون برپایی یک فایروال، ابزار در برابر حمله از طریق یك درگاه ارتباطی ناامن، باز مانده و هکر می‌تواند به اطلاعات حساس روی ابزار دسترسی داشته و از آن‌ها سو استفاده نماید.

٩ – ممکن است ابزارهای موبایل تحت دستکاری‌های غیرمجاز قرار گیرند. فرآیند تقویت یک ابزار موبایل به‌منظور حذف محدودیت‌ها به‌صورتی كه كاربر بتواند ویژگی‌هایی را به آن‌ها اضافه كند، تنظیمات پیش‌فرض مدیریت امنیت ابزار را تغییر داده و می‌تواند باعث افزایش ریسك‌های امنیتی شود. فرآیندهای مذکور كه تحت عنوان Rooting یا Jailbreaking شناخته می‌شوند به كاربران امكان می‌دهند طوری به سیستم عامل ابزار دسترسی داشته باشند كه اجازه نصب یا تغییر اپلیکیشن‌ها و توابع نرم‌افزاری غیرمجاز را صادر نموده و یا این كه محدودیت گوشی خود به یک اپراتور خاص را از بین ببرند.

١٠ – در گزارش GAO آمده است که اتصال به یک شبکه Wi-Fi رمزنگاری نشده می‌تواند به مهاجم اجازه دهد به اطلاعات شخصی در یك ابزار دسترسی پیدا کند كه ریسك سرقت هویت و داده‌ها را افزایش می‌دهد.

كلمات كليدی: امنیت، گوشی موبایل، PIN، کلمه عبور، کد عبور، رمزنگاری، Wi-Fi، بدافزار

پربیننده ترین مقالات