مرکز ماهر به کاربران هشدار داده که مراقب شنود شدن دستگاههای اندرویدی خود باشند. به گفته این مرکز محققان امنیتی بیش از ۱۳۰۰ برنامه اندروید کشف کردهاند که اطلاعات حساس کاربران را حتی پس از رد مجوز دسترسی، جمعآوری میکنند.
مرکز ماهر در گزارش خود تاکید کرده که توسعه دهندگان این برنامهها با استفاده از کانالهای پنهان و جانبی در دستگاههای اندرویدی به جمعآوری اطلاعات مکان، شناسههای تلفن و آدرسهای ثبت شده کاربران خود میپردازند. در بین این برنامههای مخرب یکی از این حملات وجود دارد که به برنامه این اجازه را میدهد تا صداهای خارجشده از بلندگوهای گوشیهای هوشمند را بدون نیاز به مجوز دستگاه، شنود کنند.
مرکز ماهر اعلام کرده این حمله Spearphone نام دارد و از یک سنسور حرکتی مبتنی بر سختافزار استفاده میکند که شتابسنج نامیده میشود و در اکثر دستگاههای اندرویدی جدید وجود دارد. این حمله میتواند ویژگی عدم دسترسی و مجوز صفر را نیز رد کند و به شنود میکروفون دستگاه بپردازد.
این حمله زمانی رخ میدهد که قربانی، تماس تلفنی یا تماس ویدیویی را در حالت بلندگو قرار میدهد یا در حال گوش دادن به یک فایل رسانهای است. مرکز ماهر در گزارش خود درباره این موضوع بیشتر توضیح داده است:
«از آنجایی که بلندگوی داخلی یک گوشی هوشمند در سطحی یکسان با سنسورهای حرکتی قرار دارد، هنگامی که حالت بلندگو فعال میشود، صداهای بلندی را در بدنهی گوشی تولید میکند و به اینگونه حملات اجازه میدهد تا بهسادگی، برخی از ویژگیهای گفتاری کاربر ازجمله جنسیت (با دقت بیش از 90٪) هویت (با دقت بیش از 80٪) و حتی کلمات را شناسایی کنند. خوشبختانه این حمله نمیتواند برای ضبط صدای کاربران یا محیط اطراف آن مورد استفاده قرار گیرد، زیرا به قدری قوی نیست که بتواند بر حسگرهای حرکتی گوشی تأثیر بگذارد.»
مرکز ماهر تاکید میکند که وجود یک سیاست کنترل دسترسی کنترلشده برای سنسورها و اجرای مدل مجوز استفادهی صریح توسط برنامهها، اغلب نمیتواند جلوی این حملات را بگیرد و کاربران باید به برنامههایی که دانلود میکنند و وبسایتهایی که هنگام بازدید از آنها نیاز به استفاده از ویژگیهای بلندگو دارند، بسیار دقت کنند.
منبع / دیجیاتو