عقیدهای مشهور میان متخصصان امنیتی رایج است که بیان میکند: «بزرگترین تهدید امنیتی هر شخص، خود آن فرد است.»
در نگاه اول این موضوع کمی عجیب به نظر میرسد، اما وقتی کمی در آن دقیق میشوید، خواهید دید که واقعا همینگونه است. درواقع بسیاری از حملات و صدمات امنیتی که برای کاربران رخ میدهد به این دلیل است که موارد امنیتی را رعایت نکرده و در نهایت هکر یا بدافزار توانسته به کاربر صدمه بزند. درست است که برخی مسائل امنیتی که رخ میدهد از طرف ابزار یا اپلیکیشن و توسط اشتباه توسعهدهنده است، اما عمده مسائل به خود کاربر برمیگردد و هر کاربر با رعایت مسائل امنیتی میتواند امنیت و حریم شخصیاش را به حداکثر مقدار ممکن برساند.
امروزه پراستفادهترین ابزار هر شخص گوشی موبایل او است و درصد بالایی از کاربران، مهمترین اطلاعاتشان را در گوشی هوشند خود ذخیره میکنند. پس بهترین مکانی که هکرها و بدافزارها میتوانند در آن جولان دهند همین گوشیهای هوشمند هستند. اندروید بهعنوان پراستفادهترین سیستمعامل موبایلی برای امنیت کاربرانش بسیاری از راهکارهای امنیتی را در نظر گرفته است، اما تنها عده بسیار محدودی از کاربران به آن توجه میکنند. یکی از مهمترین بخشهای امنیتی در اندروید، مرحله Permissions در زمان نصب اپلیکیشنها است. در این مرحله به کاربر اطلاعات کاملی از سطح دسترسیهای درخواستی توسط برنامه نشان داده میشود. بهعنوان مثال، در نصب برنامه AirDroid اعلام میشود که این اپلیکیشن درخواست دسترسی به Wi-Fi، لیست مخاطبان، پیامکها، کارت حافظه و بخشهای دیگر را دارد. کاربر با یک نگاه سریع میتواند اطمینان حاصل کند که اپلیکیشن مورد نظرش دسترسی بیش از اندازه به اطلاعات حساس کاربر نخواهد داشت. بهعنوان نمونه، هیچ لزومی ندارد که یک برنامه ویرایشگر عکس به پیامکهای کاربر دسترسی پیدا کند.
بسیاری از ما با بیتفاوتی از Permissionهای درخواستی عبور میکنیم و برخی دیگر با ضعف در زبان انگلیسی متوجه دسترسیهای درخواستی نمیشوند. طی چند شماره قصد داریم نگاهی به لیست Permissionهای اندروید بیندازیم تا شما نیز وقتی به نصب برنامه میپردازید با آگاهی کامل و شناخت آنها، پیش بروید. پیشنهاد میکنیم این چند شماره و توضیحات ارائه شده در آن را از دست ندهید.
Make phone calls
این سطح دسترسی میتواند برای شما هزینه دربر داشته باشد. Make phone calls به اپلیکیشن موردنظر اجازه میدهد که بدون وارد شدن به بخش Dialer اندروید و بدون آنکه لازم باشد کاربر تماس را تایید کند، به شمارهگیری و ایجاد یک تماس بپردازد. هر اپلیکیشن توانایی درخواست یک شماره در Dialer اندروید را دارد، اما کاربر با کلید روی دکمه Call میتواند اجازه شمارهگیری را بدهد. اما سطح دسترسی Make phone calls باعث میشود اپلیکیشن بهطور پنهانی و به دور از چشم کاربر بتواند به این کار مشغول شود. برای مثال، اپلیکیشنهایی نظیر Viber و Skype به این سطح دسترسی برای تماس اینترنتی نیاز دارند، اما بسیاری از بدافزارها و جاسوسافزارها میتوانند از این سطح دسترسی سوءاستفاده کنند. اگر یک بدافزار این سطح دسترس را داشته باشد، میتواند با کشورهای دیگر یا حتی شمارههایی که هزینه زیادی دارند تماس برقرار کرده و هزینه گزافی را بر كاربر متحمل کند. این سطح دسترسی یک سطح بسیار حساس و مهم محسوب شده و در زمان نصب اپلیکیشن به آن دقت خاصی داشته باشید که فقط اپلیکیشنهای مناسب و مورد تایید این سطح دسترسی را داشته باشند.
Send SMS or MMS
با این سطح دسترسی، اپلیکیشن موردنظر توانایی ارسال پیامک یا پیامهای چندرسانهای بهصورت خودکار خواهد داشت. این سطح دسترسی نیز مانند سطح دسترسی قبلی است، کارکرد و اهمیت امنیتی مشابه آن را دارد. پس به اپلیکیشنهایی که درخواست چنین Permissionای دارند دقت داشته باشید.
Modify/delete SD card contents
با این سطح دسترسی، اپلیکیشن توانایی خواندن، نوشتن و پاک کردن هر گونه دادهای را روی کارت حافظه خارجی دستگاه و نه حافظه داخلی دارد. البته ناگفته نماند این سطح دسترسی درخواستی در بسیاری از اپلیکیشنها، بهخصوص اپلیکیشنهای عکسبرداری، پخشکننده فایل تصویری و ویدئویی، اجراکننده فایلهای آفیس و PDF و از این دست اپلیکیشنها بهطور پیشفرض برای کار با فایلهای خودشان به این سطح دسترسی نیاز دارند.
Read Contacts
همانطور که از نام سطح دسترسی Read Contacts مشخص است، اپلیکیشنها با این سطح دسترسی میتوانند کاملا به اطلاعات تکتک لیست مخاطبان (Contacts) شما دسترسی پیدا کنند؛ یعنی نام، شمارههای تماس، ایمیل، آدرس و هر داده دیگری که برای مخاطبان خود ذخیره کردهاید. این سطح دسترسی بسیار مهم و خطرناک است و همچنین بخش عظیمی از جاسوسافزارها به دنبال لیست مخاطبان هستند. البته درخواست چنین سطح دسترسی بین اپلیکیشنهای اجتماعی رایج است و دلیل آن هم پیشنهاد دادن حساب کاربری افرادی است که در لیست مخاطبان شما قرار دارد. برای مثال، وقتی در شبکه اجتماعی توییتر وارد میشوید، اگر دوستان، افراد خانواده و سایر افرادی که در Contacts شما قرار دارند و یک حساب کاربری در توییتر نیز دارند، اسم حساب كاربری آنها به شما پیشنهاد میشود. علاوه بر اپلیکیشن شبکههای اجتماعی، اپلیکیشنهای کیبورد تایپ سریع، نتبرداری، مدیریت پیامک و مدیریت لیست مخاطبان به این سطح دسترسی نیاز دارند و در آنها Read Contacts رایج است.
Write contact data
مشابه سطح دسترسی قبلی است، توانایی تغییر اطلاعات Contacts برای اپلیکیشن به وجود میآید. این مورد نیز اگر توسط اپلیکیشنهای بدافزار درخواست شود، برای کاربر خطرناک خواهد بود. دسته اپلیکیشنهای رایج درخواستکننده این سطح دسترسی کاملا مشابه سطح دسترسی Read Contacts است.
Read calendar data
قابلیت خواندن اطلاعات تقویم کاربر با این سطح دسترسی به اپلیکیشن داده میشود. اگر شما از تقویم خود چه تقویم گوگل و چه تقویمهای دیگر مثل فیسبوک استفاده میکنید، این سطح دسترسی میتواند بسیار خطرساز باشد؛ بهخصوص اگر با آگاهی کامل هکر یا دزدها شما را تحت نظر و هدف قرار داده باشند. تصور کنید در تقویم شخصی خود تاریخ رفت و برگشت یکی از سفرهای خود را ثبت میکنید یا حتی در تقویم فیسبوک خود تایید میکنید که به فلان نمایش تئاتر یا همایش میروید. اگر فرد سارق به این اطلاعات دسترسی پیدا کند، بهراحتی زمان غیاب شما را در خانه تشخیص داده و میتواند در فرصت مناسب به سرقت مشغول شود. با این سطح دسترسی به اپلیکیشنهای غیرمجاز، حوادث و مشکلات بسیار بدتری میتواند رخ دهد.
Write calendar data
کاملا مشابه سطح دسترسی قبلی است؛ با این تفاوت که اپلیکیشن توانایی نوشتن و تغییر اطلاعات تقویم شما را دارد. به این سطح دسترسی درخواستی اپلیکیشنها نیز دقت ویژهای داشته باشید.
Read browser history & bookmarks
یكی از مهمترین بخشهای یک سیستمعامل میتواند اطلاعات مرورگر کاربر باشد. اینکه کاربر به چه سایتهایی مراجعه و چه سایتهایی را به لیست محبوب خود اضافه کرده است. هکرها با استفاده از این سطح دسترسی میتوانند شما را تحت فشار قرار دهند.
Write browser history & bookmarks
مشابه دسترسی قبلی است، اما در این Permission کاربر به اپلیکیشن اجازه نوشتن در تاریخچه و لیست سایتهای محبوب در مرورگر خود را میدهد.
Read sensitive logs
این سطح دسترسی اجازه میدهد که اپلیکیشن به اطلاعات سطح پایین Logها دسترسی پیدا کند؛ حتی Logهایی که توسط اپلیکیشنهای دیگر در اندروید شما تولید شدهاند نیز قابل دسترسی است. از این سطح دسترسی معمولا در زمان توسعه اپلیکیشن و توسط اپلیکیشننویس استفاده میشود، ولی بدافزارها میتوانند از این سطح دسترسی سوءاستفاده کنند. اهمیت این سطح دسترسی بسیار بالا است. نباید ساده از کنار چنین سطح دسترسی درخواستی توسط اپلیکیشنی عبور کنید و اجازه نصب بدهید.
Modify global system settings
با استفاده از این سطح دسترسی، اپلیکیشن میتواند به تنظیمات سیستمی دسترسی و در آنها تغییر ایجاد کند. تنظیماتی که در بخش Settings اندروید قرار دارد با این Permission قابل تغییر است. این سطح دسترسی خیلی نمیتواند برای کاربر مشکلساز باشد، اما نباید از آن غافل شد.
اپلیکیشنهایی نظیر آنهایی که اجازه دسترسی به تغییر حجم صدا را دارند، ویجتهایی با کاربری نوتیفیکیشنی، ویجتهای Settings، ابزارهای کار با Wi-Fi و GPS معمولا این سطح دسترسی را درخواست میکنند.
Read sync settings
این دسترسی از نظر امنیتی خیلی مهم و خطرساز نیست. اگر شما در گوشی خود حساب کاربریای به لیست Accounts اضافه کرده باشید، مانند Gmail یا Facebook، با این سطح دسترسی اپلکیشن میتوانید متوجه شوید که Sync کدام حساب کاربری فعال و کدام یک غیرفعال است.
منبع