مرکز ماهر نسبت به شنود دستگاه‌های اندرویدی هشدار داد

به گزارش کارگروه حملات سایبری سایبربان ؛ به گفته این مرکز محققان امنیتی بیش از ۱۳۰۰ برنامه‌ اندروید کشف کرده‌اند که اطلاعات حساس کاربران را حتی پس از رد مجوز دسترسی، جمع‌آوری می‌کنند.

مرکز ماهر در گزارش خود تاکید کرده که توسعه دهندگان این برنامه‌ها با استفاده از کانال‌های پنهان و جانبی در دستگاه‌های اندرویدی به جمع‌آوری اطلاعات مکان، شناسه‌های تلفن و آدرس‌های ثبت شده کاربران خود می‌پردازند.

در بین این برنامه‌های مخرب یکی از این حملات وجود دارد که به برنامه این اجازه را می‌دهد تا صداهای خارج‌شده از بلندگوهای گوشی‌های هوشمند را بدون نیاز به مجوز دستگاه، شنود کنند.

مرکز ماهر اعلام کرده این حمله Spearphone نام دارد و از یک سنسور حرکتی مبتنی بر سخت‌افزار استفاده می‌کند که شتاب‌سنج نامیده می‌شود و در اکثر دستگاه‌های اندرویدی جدید وجود دارد.

این حمله می‌تواند ویژگی عدم دسترسی و مجوز صفر را نیز رد کند و به شنود میکروفون دستگاه بپردازد.

این حمله زمانی رخ می‌دهد که قربانی، تماس تلفنی یا تماس ویدیویی را در حالت بلندگو قرار می‌دهد یا در حال گوش دادن به یک فایل رسانه‌ای است. مرکز ماهر در گزارش خود درباره این موضوع بیشتر توضیح داده است:

از آنجایی که بلندگوی داخلی یک گوشی هوشمند در سطحی یکسان با سنسورهای حرکتی قرار دارد، هنگامی که حالت بلندگو فعال می‌شود، صداهای بلندی را در بدنه‌ی گوشی تولید می‌کند و به این‌گونه حملات اجازه می‌دهد تا به‌سادگی، برخی از ویژگی‌های گفتاری کاربر ازجمله جنسیت (با دقت بیش از 90٪) هویت (با دقت بیش از 80٪) و حتی کلمات را شناسایی کنند. خوشبختانه این حمله نمی‌تواند برای ضبط صدای کاربران یا محیط اطراف آن مورد استفاده قرار گیرد، زیرا به قدری قوی نیست که بتواند بر حسگرهای حرکتی گوشی تأثیر بگذارد.

مرکز ماهر تاکید می‌کند که وجود یک سیاست کنترل دسترسی کنترل‌شده برای سنسورها و اجرای مدل مجوز استفاده‌ی صریح توسط برنامه‌ها، اغلب نمی‌تواند جلوی این حملات را بگیرد و کاربران باید به برنامه‌هایی که دانلود می‌کنند و وب‌سایت‌هایی که هنگام بازدید از آن‌ها نیاز به استفاده از ویژگی‌های بلندگو دارند، بسیار دقت کنند.