ايتنا - ماهیت مجوزهای برنامه‌های کاربردی گوگل چیست؟

توسعه‌دهندگان برنامه‌های کاربردی با توجه به عدم آگاهی و بی‌توجهی برخی کاربران، مجوزهایی را از آنها می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند، بنابراین با توجه به تولید انبوه برنامه‌های کاربردی سیستم‌عامل اندرویدی، باید درباره خطر احتمالی برنامه‌هایی که تهدیدی را برای کاربران دستگاه‌های اندرویدی ایجاد می‌کنند، اطلاع‌رسانی شود.

به گزارش ایتنا از ایسنا، بسیاری از برنامه‌های کاربردی با دریافت مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. اما از نکات مهم این است که افراد به ندرت مجوزهای درخواستی برنامه کاربردی اندرویدی را قبل از نصب مطالعه می‌کنند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند.

شاید رد کردن یا اختیار دادن به مجوزهای درخواستی برنامه‌های کاربردی در حال نصب، ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد؛ اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده برنامه کاربردی را درک کرد.

محدوده مجوزها برای تعامل برنامه کاربردی از اجازه دسترسی به بخش ویژه‌ای از سخت‌افزار دستگاه (به‌عنوان‌ مثال فلش دوربین عکاسی) آغاز می‌شود و تا دسترسی به لیست مخاطبان کاربر ادامه می‌یابد. کاربر نیز باید با تمام مجوزهای لیست شده قبل از نصب برنامه کاربردی موافقت کند.

اصول مجوزهای برنامه‌های کاربردی گوگل
مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)، در آزمایش خود یک میلیون و ۴۱ هزار و ۳۳۶ برنامه کاربردی مورد بررسی قرار گرفتند که از بین آنها ۲۳۵ مورد مجوز انحصاری و خاص داشتند. از مجموع این ۲۳۵ مجوز، تنها ۱۰ مجوز توسط ۲۰ درصد برنامه‌های کاربردی موجود در Google Play مورد استفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامه‌های کاربردی درخواست شده‌اند. تعداد ۱۰۰۰ برنامه از مجموع یک میلیون و ۴۱ هزار و ۳۳۶ (۰.۰۹درصد) نیز ۱۴۷ مجوز از مجموع ۲۳۵ مجوز را درخواست کرده‌اند.

مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند: مجوزهایی که به برنامه کاربردی اجازه دسترسی به اطلاعات کاربر را می‌دهند و مجوزهایی که به برنامه کاربردی اجازه می‌دهند به‌صورت مستقیم با دستگاه تعامل داشته باشند. فرض می‌شود مجوزهایی که جهت دریافت «اطلاعات کاربر» صادر می‌شوند، هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد و به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاماً بخش مشخصی از سخت‌افزار نخواهد بود.

مجوزهای مربوط به سخت‌افزار دستگاه
از ۲۳۵ مجوز انحصاری جمع‌آوری‌شده در این تحلیل، ۱۶۵ نوع از آن‌ها به برنامه کاربردی اجازه می‌دهند تا با اجزای سخت‌افزاری دستگاه تعامل داشته باشند و به برنامه اجازه دسترسی دیگری از جمله اطلاعات کاربر را نخواهد داد.

دو نمونه از عمومی‌ترین مجوزها به برنامه کاربردی اجازه اتصال به اینترنت را می‌دهند. مجوز «دسترسی کامل به شبکه» (که توسط ۸۳ درصد برنامه‌های کاربردی مورد استفاده قرار می‌گیرند) به برنامه کاربردی اجازه می‌دهد که با هر شبکه‌ای که دستگاه به آن متصل است ارتباط برقرار کند. همچنین مجوز «مشاهده ارتباطات شبکه» (که توسط ۶۹ درصد برنامه‌های کاربردی مورداستفاده قرار می‌گیرند) به برنامه کاربردی اجازه می‌دهد که هر شبکه‌ای که دستگاه به آن دسترسی دارد را ببیند.

اگرچه هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هر دو مجوز «اطلاعات کاربر» و «مجوز سخت‌افزار» نیاز داشته باشد. اما این دو مجوز که به‌شدت فراگیر هستند اجازه دسترسی مستقیم به اطلاعات کاربر را به برنامه کاربردی نمی‌دهند.

نمونه‌هایی از کارکردهای این نوع مجوزها
کنترل چراغ‌قوه– این مجوز به برنامه کاربردی اجازه می‌دهد با چراغ(فلش) موجود در گوشی هوشمند و یا تبلت تعامل داشته باشد. عموماً این چراغ مربوط به دوربین عکاسی است اما یک برنامه کاربردی توانایی استفاده از چراغ دوربین با قابلیت روشن و یا خاموش نگاه‌داشتن ممتد برای ایجاد یک «چراغ‌قوه» را خواهد داشت.

تنظیمات تصاویر زمینه– این مجوز به برنامه کاربردی اجازه می‌دهد یک تصویر را در پس‌زمینه صفحه‌نمایش خانگی دستگاه تنظیم کند (معمولاً در دستگاه‌های مبتنی بر سیستم‌عامل اندروید آن را «تصویر زمینه» نیز می‌نامند).

کنترل لرزاننده– این مجوز به برنامه کاربردی اجازه کنترل لرزاننده که در بیشتر گوشی‌های هوشمند وجود دارند را خواهد داد.

این نوع از مجوزها خیلی هم ساده و سطحی نیستند. اگر از این نوع از مجوزها به‌درستی استفاده نشوند (و یا به‌صورت مخرب استفاده شوند) یک برنامه کاربردی با یکی از این مجوزها می‌تواند به‌صورت بالقوه برای دستگاه کاربر خرابی و تهدید ایجاد کند؛ اما این نوع از مجوزها به‌خودی‌خود به یک برنامه کاربردی اجازه دسترسی به اطلاعات کاربر را نمی‌دهند و باید کاربر مهر تائید را به آن برنامه کاربردی داده باشد.

مجوزهای مربوط به اطلاعات کاربر
برخی مجوزها به برنامه کاربردی این اجازه را می‌دهند که به انواع اطلاعات کاربر دسترسی داشته باشد. از مجموع ۲۳۵ مجوز مشخص‌شده در این آزمون، ۷۰ مجوز به‌صورت بالقوه دسترسی به اطلاعات کاربر را فراهم می‌کنند. نمونه‌هایی از این نوع مجوزها می‌تواند مجوزهایی باشند که به برنامه کاربردی اجازه می‌دهند تصاویر موجود در کتابخانه تصاویر کاربر را تغییر و یا حذف کند. نمونه دیگر از این نوع مجوزها نیز می‌تواند خواندن لیست مخاطبان کاربر باشد.

مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی می‌تواند تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت!