سرقت اطلاعات یکمیلیون ایرانی با فریب افزایش لایک و فالوئر
گزارشی که به تازگی منتشر شده ، نشان میدهد حداقل50 اپلیکیشن مرتبط با اینستاگرام که در فروشگاههای رسمی ارائه شده، اطلاعات کاربران را سرقت میکنند
انتشار گزارش محرمانه درباره برنامههای فرعی مرتبط با اینستاگرام باعث شد دوباره نگاهها به سمت برنامههایی جلب شود که با فریبدادن کاربران سعی دارند به هدفهای خاص خودشان برسند. این هدفها گاهی درآمدزاییهای هنگفت است و زمانی دیگر، سرقت اطلاعات شخصی کاربران. امیرناظمی، رئیس سازمان فناوری اطلاعات ایران که گزارش ماهر را در توییتر منتشر کرده، یکی از جدیترین طرفداران شفافیت امور دولتی و «غیرمحرمانهسازی گزارشها»ست. این گزارش به برنامههای مخربی با نامهای «فالوئریاب»، «لایک بگیر»، «آنفالویاب» و عناوین مشابه اشاره میکند که تخمین زده میشود دستکم یک میلیون کاربر اندرویدی در ایران را آلوده کرده است. کارشناسان، 200اپ مشابه را بررسی کرده و در نهایت به 50اپ رسیدهاند که هدف اصلیشان سرقت اطلاعات کاربران است. این گزارش چه میگوید و چرا مهم است.
بررسی فنی اپهای غیرمجاز
گزارشی که او در اختیار شهروندان قرار داده و در نشانی https://goo.gl/cVGfD1 در دسترس قرار گرفته، در 3 بخش تهیه شده است. در آن بهطور کامل، به نرمافزارهایی پرداخته شده که مدعی هستند روی بستر اینستاگرام خدمات اضافهای مثل افزایش لایک و کامنت ارائه میکنند یا میتوانند باعث بالارفتن تعداد فالوئرهای یک کاربر شوند. لیست این برنامهها بسیار زیاد است و آنطور که در گزارش آمده، تعداد قابلتوجهی از آنها در مارکتهای مشهور اندروید در ایران منتشر شدهاند. گزارش، شیوههای فنی دسترسی به اطلاعات افراد را بررسی کرده است. براساس این گزارش، برنامههای یادشده با ساختن یک صفحه جعلی مشابه صفحه ورود اینستاگرام، از کاربران اطلاعات ورود بهحساب کاربری آنها را درخواست میکردند. این اطلاعات در نهایت به یک سری سرور که دامنه ir. داشته و در داخل کشور ثبت شده بودند، فرستاده میشد. آمار منتشر شده در این سلسله گزارشها نشان میدهد، این نرمافزارها میتوانستند به اطلاعات کاربرانشان دست پیدا کنند اما دقیقا مشخص نیست این اطلاعات در جایی ذخیره میشده است یا نه. همه اینها در حالی رخ میدهد که عملا در صفحه مربوط به این اپلیکیشنهای فرعی (بهخصوص آنهایی که بیشتر از دیگران استفاده میشدند) تأکید شده، از آنجایی که کاربران باید در صفحه اصلی اینستاگرام رمزشان را وارد کنند، اطلاعات کاربران در جایی خوانده یا ذخیره نمیشود. گزارش «مرکز ماهر» کاملا خلاف این موضوع را نشان میدهد.
پیگیری وضعیت برنامههای سارق
با وجود اینکه در گزارش اعلامشده بود بخش زیادی از این برنامهها در مارکتهای ایرانی و غیرایرانی (گوگلپلی و کافه بازار) در دسترس کاربران قرار گرفته، بررسیهای همشهری نشان میدهد که هنوز بخشی از این برنامهها با همان نام و مشخصات قبلی در حال فعالیت هستند و قابلیت دانلود آنها همچنان پابرجاست. علی نوربخش، مدیر عملیات کافهبازار دراینباره که چه رویکردی در مورد این برنامههای مخرب وجود دارد و چرا تا به حال از بازار حذف نشدهاند، با همشهری گفتوگو کرد. او دراینباره میگوید: «گزار=ش ماهر قدیمی و مربوط به چند ماه قبل است. اصل گزارش حدود 3ماه پیش بهدست ما رسید که آن را بررسی کرده و بلافاصله اپهای مخرب را از روی مارکت برداشتیم. به تولیدکنندههای برنامه نیز تذکر داده شد که برای ادامه فعالیت، کدهای اشتباه را از روی برنامهشان بردارند. این اشکالات ظرف چند روز برطرف شد و نسخه فعلی که روی سایت ما قرار گرفته، بهبود پیدا کرده است.» تماسهای پیاپی همشهری برای تماس با مسئولان شرکت اندرومدا که در مشهد ساکن هستند و 3 اپلیکیشن آنها نامشان بهعنوان پردانلودترین برنامهها ثبت شده، با در بسته مواجه شد. در گزارش مرکز ماهر این اپلیکیشنها بهعنوان سارقان اطلاعات کاربران معرفی شده است. این در حالی است که ورود به سایت اصلی این شرکت با دامنه ir. توسط نرمافزارهای امنیتی مسدود شده است. فایروال سختافزاری فورتیگیت هم دسترسی به این سایت را با اعلام فیشینگبودن آن قطع میکند.
گولزدن مارکتهای داخلی و خارجی
کارشناسان همیشه توصیه میکنند تا کاربران برای اطمینان از اصلبودن و مخربنبودن برنامهها، کاربران آنها را از منابع اصلی دانلود کنند. این در حالی است که گزارش اخیر مرکز ماهر نشان میدهد به جز مارکتهای ایرانی، گوگلپلی نیز میزبان این برنامههای سارق بوده است. علی نوربخش، مدیر عملیات کافهبازار درباره اینکه چرا مخرببودن این برنامهها جدی گرفته نمیشود، به همشهری میگوید: «ما برنامهها را از نظر دسترسیهای غیرعادی و ویژگیهای فنیشان بررسی میکنیم. اما برای گولزدن ما، آنها از ترفندهایی استفاده میکنند که شناسایی برنامههای مخرب را سخت میکند. یکی از راهها این است که اطلاعاتشان را از یک سرور خاص بگیرند. این اطلاعات زمانی که برنامه به ما معرفی میشود، یک عملکرد خاص دارد اما هر لحظه میتواند تغییر کند. این موضوعات را نیز بررسی میکنیم اما راهحلی نیست که همیشه جواب بدهد. در نهایت، گزارش کاربران نیز برای ما یک منبع مهم تلقی میشود و اگر آن را ببینیم، حتما بررسی میکنیم.»
مراقب فیشینگ باشید
بخش مهمی از حملههایی که از طریق این برنامههای جعلی صورت گرفته، توسط صفحههای مجازی جعلی بوده که مشابه اینستاگرام ساخته شده و روی یک نشانی غیرواقعی و بسیار شبیه نمونه اصلی بارگذاری میشود. این صفحههای جعلی نشانیهایی مشابه instagram (مثل Instageram، Inestagram و...) دارند که جعلی است. ضمن اینکه، قرارداشتن این صفحهها روی دامنه ir. که یک دامنه ارزان و داخلی است – با توجه به اینکه اینستاگرام شعبه، نمایندگی یا همکاری با ایران ندارد و نمیتواند از امکانات کشور ما استفاده کند-عملا مشخص میکند این برنامهها و شیوه کارکردشان جعلی است. بهدست آوردن اطلاعات کاربران از طریق حمله فیشینگ، یکی از متداولترین راههای هکرها برای حمله به کاربران است که با ساختن صفحات جعلی امکانپذیر میشود. برای اینکه قربانی این حملات نباشید، هر بار که به صفحه جدیدی هدایت شده و ناچار به واردکردن نام کاربری و رمز عبورتان شدید، نگاهی به نشانی دقیق درجشده در «نوار نشانیها» در بالای صفحه رایانهتان بیندازید و از درستبودن نشانی سایت مطمئن شوید.
