آسیبشناسی فیلترینگ گوگلپلی: رشد بدافزار، فیشینگ، تهدید امنیت
با اینکه وزیر ارتباطات بارها به لزوم رفع فیلتر گوگلپلی تأکید کرده اما کماکان این اتفاق نیفتاده، این فیلترینگ چه آسیبهایی برای کاربران موبایل دارد؟
کلاهبرداریهای اینترنتی، فیشینگ و صفرشدن حساب بانکی تنها با یک کلیک روی پیامکهایی که به اسم سامانه سهام عدالت، سامانه ثنا و امثالهم ارسال میشوند، پدیده پربحث این روزهاست. با همهگیری فضای مجازی و افزایش تراکنشهای اینترنتی، کلاهبرداری اینترنتی هم به موازات آن رشد کرده و گسترش یافته است. اما بهنظر میرسد فیلترینگ هم پدیدهای بود که بر آن مهر تأیید زد و با به خطر انداختن امنیت شبکه، میزان اتفاقاتی از این دست را بهطرز چشمگیری افزایش داد.
گوگل پلی – یکی از منابع امن دانلود نرمافزار – یکی از مواردی است که میزان ورود بدافزارها به گوشی را کاهش میدهد و امنیت کاربر را تأمین میکند؛ اما فیلترینگ این پلتفرم هم مانند بسیاری از پلتفرمهای دیگر، یکسالگی خود را پشتسر میگذارد. Google Play Store در تاریخ ۶ مارچ ۲۰۱۲ با تلفیق مارکت اندروید و سرویسهای دیجیتالی دیگری عرضه شد و در بیش از ۱۹۰ کشور مختلف در دسترس است و درواقع یکی از معدود کشورهایی که این فروشگاه اندرویدی در دسترس کاربرانش نیست، ایران است.
پیشتر برخی گزارشها حکایت از این داشت که ایران بالاترین سهم آلودگی موبایل به بدافزار را در جهان دارد و حالا با فیلترینگ گوگل پلی، اوضاع بدتر هم شده است.
فیلترینگ گوگل پلی، عامل کاهش امنیت شبکه
«صالح سوزنچی»، کارشناس امنیت شبکه، درباره تأثیر گوگل پلی بر کاهش نصب اپلیکیشنهای مخرب به دیجیاتو گفت: «زمانی که استفاده از اپلیکیشنها فراگیر شد، هرکسی میتوانست اپلیکیشنی بنویسد و روی گوشی خود نصب کند. درنهایت مشخص شد که این اتفاقات امنیت شبکه را به خطر میاندازد. برای رفع این مشکل، گزینهای روی دو سیستمعامل اندروید و آیفون فعال شد تا به اپلیکیشنهایی که امضای استاندارد ندارند، اجازه نصب داده نشود و تنها اپلیکیشنهایی اجازه نصب داشته باشند که از این دو استور دریافت شوند. از طرفی، برای اینکه این استورها انحصار ایجاد نکنند، گزینهای تعبیه شد تا کاربران تنها درصورتیکه بخواهند، اجازه نصب اپلیکیشن از سایر استورها را به دستگاه خود بدهند.»
او با اشاره به اینکه بزرگترین مشکلات شبکه از آنجایی شروع شد که افراد این گزینه را غیرفعال کردند، گفت: «زمانی که گوگل پلی در اختیار همه بود، افراد بهراحتی اپلیکیشنهای موردنظر خود را دانلود میکردند و مطمئن بودند گوگل پلی امنیت را تضمین میکند. اینکه دیگر کسی سراغ دانلود اپ از سایتهای دیگر نمیرفت چرخه نصب استانداردی ایجاد کرده بود. اما با فیلتر گوگل پلی، کاربران ناچارند تیک دانلود «فقط از این برنامه» را بردارند و حالا به هر چیزی اجازه نصب اپلیکیشن بدهند. به همین دلیل امنیت کل سیستمعامل کاهش یافته است، مخصوصاً وقتی پیامکهای مربوط به سهام عدالت و امثالهم کاربران زیادی را ترغیب به کلیککردن و نصب برنامهها میکنند.»
سوزنچی درباره سیستم امنیت گوگلپلی توضیح داد: «طی سالیان اخیر بدافزارها در گوگلپلی هم بیشتر شدند و این استور ناچار شد یک سیستم محافظ برای خودش ایجاد کند. در واقع روی گوشیهای جدید سیستمی وجود دارد که اپها را پس از نصب برای گوگلپلی میفرستد تا بررسی شوند.»
به گفته سوزنچی پیامکهایی مثل پیامکهای سهام عدالت حاوی لینک دانلود اپلیکیشنهایی است که در بعضی از اپاستورهای داخلی موجود نیست و همین مساله نشان میدهد که این برنامهها جعلی هستند، اما از طرفی او تأکید دارد که بسیاری از مردم امکان سنجیدن این موضوع را ندارند. به اعتقاد او، یکی دیگر از ویژگیهای گوگلپلی این است که نسخههای نصبی اپلیکیشنها را با نسخهای که در خود این اپاستور هست تطابق میدهد و در صورت مشاهده تفاوت آن را بدافزار شناسایی میکند: «متاسفانه فیلترینگ تمام این خدمات را از کاربران گرفت.»
اپلیکیشنهای مخرب روز به روز بیشتر میشوند
«علی اسدی»، دیگر کارشناس امنیت شبکه اما درباره تاثیرات گوگلپلی روی بالارفتن امنیت شبکه نظر دیگری دارد. او درباره انواع بدافزارهای موجود در فضای سایبری به دیجیاتو گفت: «ما اگر بخواهیم بدافزارها، جاسوسابزارها و برنامههای مخرب را از نظر اجرایی دستهبندی کنیم، به دو دسته تقسیم میشوند. دسته اول مواردی هستند که اهداف عمومی دارند و مخاطبین و اهدافشان کاربران کل دنیا هستند. میبینیم که روزانه تعداد بسیاری از این برنامهها ایجاد و منتشر میشوند و کاربران زیادی از کل دنیا دارند. مثل اپلیکیشنهایی که برای سرقت کیف پول رمزارز ایجاد میشوند. این نرمافزارها فعالیت بینالمللی داشته و مختص یک کشور نیستند. اما دسته دوم برخلاف دسته اول صرفا مختص یک کشور است. در کشور ما مشکلی که با بدافزارها و آمار بسیار زیادی که از آنها وجود دارد، اپلیکیشنهایی هستند که صرفا برای خالیکردن حساب بانکی کاربران ایرانی یا برای دسترسی دریافت و ارسال پیامک مورد استفاده قرار میگیرند.»
او با اشاره به اینکه در مورد شناسایی، تحلیل و حذف این بدافزارها در دسته اول برنامهای قویتر از گوگل وجود ندارد، گفت: «گوگل دسترسی کاملی به تمام دستگاههای اندرویدی دنیا داشته و میتواند با تحلیل آمار خود متوجه شود که مثلا کدام اپلیکیشن بدون اینکه در گوگلپلی منتشرشده باشد، به صورت ناگهانی در کل کشورهای دنیا درحال نصب است. همچنین براساس دسترسیها و الگوهایی که دارد میتواند تشخیص دهد که آن برنامه بدافزار هست یا نیست تا بتواند آن را از دیوایسهای اندرویدی حذف کند.»
به باور این کارشناس امنیت وجود چنین سازوکاری هم قطعا مفید و لازم است اما در مورد گروه دوم جوابگو نیست. او درباره اینکه آیا فیلترینگ گوگلپلی تأثیری در رشد بدافزارها داشته یا نه توضیح داد: «ما چندین سال در این مورد تحلیل و بررسی کردیم و حتی گزارشاتمان را نیز برای گوگلپلی فرستادیم. متاسفانه بررسی گوگلپلی با تأخیر زیادی انجام میشد. فیلترینگ و مواردی مانند افزایش هزینه باعث شده تا ۹۰ درصد اپلیکیشنها به سمت دامینهای رایگان و پسوندهای تیالدی ارزان قیمت بروند. از طرفی هم بابت سرور یا هاست چون اجاره سرور ساعتی و یا روزانه بهصرفهتر است به آن سمت میروند و مرتباً درحال تغییر اپلیکیشنهای خود هستند. این باعث میشود سرعت ما درخصوص شناسایی اپهای ایرانی کاسته شده و از تأثیر آن بکاهد.»
به گفته اسدی طول کشیدن پاسخگویی بیش از دوهفتهای گوگلپلی درحالی است که اپلیکیشنهای مخرب نهایتا تا یک هفته فعال بوده و در همین مدت از کاربران کلاهبرداری میکردند. بعد از آن هم با اپلیکیشن جدید سراغ کلاهبرداریهای جدیدتر میرفتند. برای همین درخصوص تاثیر فیلترینگ گوگلپلی بر رشد بدافزارها در دسته اول تأثیر بسزایی دارد اما برای گروه دوم تأثیر آنچنانی ندارد. البته زمانهایی هم بود که یک اپلیکیشن تا یک ماه فعالیت میکرد و هشدار گوگلپلی میتوانست مفید باشد.»
او استفاده از فیلترشکنها را دیگر عامل به خطر افتادن امنیت شبکه دانست و عنوان کرد: «ما زمانی که یک اپلیکیشن را بدافزار تشخیص میدادیم فوراً آن را برای فیلترینگ گزارش میکردیم اما الان اکثر کاربران از فیلترشکن استفاده میکنند و از این مرحله میگذرند.»
آیا گوگلپلی یک آنتیویروس است؟
به گفته سوزنچی گوگلپلی آنتیویروس نیست بلکه یک هشچکر است؛ یعنی نمیتواند اپلیکیشن را باز کرده و آن را آنالیز کند. بلکه در سطح قابل قبولی فایلها، ورژنها و منابع را چک و با دادههای خودش مقایسه میکند. بعد هم اگر هرکدام از این اطلاعات با اطلاعات گوگلپلی مغایرت داشته باشد نتیجه میگیرد که اپ غیر قانونی است. وقتی گوگلپلی متوجه این قضیه شود، فورا دستور حذف آن اپ را صادر میکند.»
او همچنین باور دارد روی بحث بدافزارها چون کدشان بعد از شناسایی توسط محققین مشخص است، هش و ساختارشان مشخص شده و روی دیتابیس گوگلپلی میرود. در این موارد میتوان گفت که گوگلپلی میتواند مثل نوعی آنتیویروس عمل کند.
اسدی درباره اینکه آیا میتوان گوگلپلی را یک آنتیویروس دانست یا نه توضیح داد: «تنها کاری که گوگلپلی انجام میدهد این است که به صورت روزانه اپلیکیشنهای نصبشده روی دیوایسهای اندرویدی را اسکن میکند. سپس بر اساس بررسی دسترسیها، روند و تعداد نصب اپلیکیشنها آنها را تحلیل میکند که این درصورت شناسایی بدافزار منجر به حذف اپلیکیشن میشود. این درحالی است که آنتیویروسها تمام فایلهای موجود در گوشی را بررسی میکنند. حتی در بحث وبگردی موارد مرتبط با فیشینگ و سایتهای مخرب را نیز شناسایی میکنند. اینها مواردی است که در پروتکشن گوگلپلی وجود ندارد. برهمین اساس نمیتوان آن را آنتیویروس دانست.»
او همچنین ادامه داد: «با این حال گوگلپلی کمک زیادی درخصوص شناسایی بدافزارها انجام میدهد و وجودش برای دیوایسهای اندرویدی مهم و حیاتی است. هرکشوری که این قابلیت را از کاربرانش بگیرد قطعا به امنیت آنها ضربه میزند. اما در خصوص اینکه همین پلیپروتکت قابل اعتماد است یا نه گزارشاتی وجود دارد که اگر مراجعه کنید میبینید که تعداد بسیار زیادی بدافزار تست شده و تنها یک سوم آن توسط گوگلپلی تشخیص داده شده که این آمار خوبی نیست.»
بدافزارها چگونه رشد کردند؟
اسدی درباره اینکه چگونه چنین بدافزارهایی رشد کردند به دیجیاتو توضیح داد: «در مورد جلوگیری از فیشینگ و نصب بدافزار هم ما بررسیهای زیادی برای ریشهیابی آن کردیم و متوجه شدیم که پیش از رفتن به سوی پیامکهایی درباره ثنا، قوه قضائیه و… فعالیتشان به سایتهای دانلود نرمافزار مودشده محدود بوده و کاربر آنها را دانلود و نصب میکرد. موارد اینچنینی در شروع این اتفاق تاثیر بسزایی داشت. مورد بعدی گروهها و کانالهای تلگرامی مستهجن بودند که این روند را رشد دادند. همه این موارد از اینجا شروع شد که دسترسی کاربر را بگیرند و با ارسال پیامک این مورد را گسترش دهند.» او همچنین اشاره کرد که شمارههای کاربران نیز به صورت رندوم نبود و با رشد فضای مجازی و تحلیل و بررسی درباره صاحبان آن شمارهها صورت گرفته است. بعد از این اتفاق بسیاری از پلفترمهای خدماتدهنده محدودیتهایی را برای لاگین اعمال کردند.
جمعبندی
وزیر ارتباطات بارها از لزوم برداشته شدن فیلترینگ گوگل پلی صحبت کرده و تنها جایی که نظر تخصصی پیرامون فیلترینگ یک پلتفرم داده و پای آن ایستاده، در مورد همین مسدودسازی گوگل پلی بوده است. با این حال آنطور که زارعپور میگوید، با این موضوع در کارگروه فلیترینگ مخالفت شده و مشخص نیست چرا تصمیمگیران به آسیبهایی که این فیلترینگ وارد کرده، توجه نمیکنند. فیلترینگ گوگل پلی جدا از اینکه آسیبهای مالی جبران ناپذیری به برخی صنایع نظیر صنعت موبایل گیمینگ در ایران زده، میتواند به امنیت شبکه هم خدشه عظیمی وارد کند و بر اساس شنیدههای دیجیاتو، توانسته آمارهای فیشینگ را رشد ببخشد. باید دید این تصمیم قرار است تا کی تداوم داشته باشد و آیا سیاستمداران قرار است که به خطرات این فیلترینگ بیشتر توجه کنند یا خیر.