آسیب‌شناسی فیلترینگ گوگل‌پلی: رشد بدافزار، فیشینگ، تهدید امنیت

کلاهبرداری‌های اینترنتی، فیشینگ و صفرشدن حساب بانکی تنها با یک کلیک روی پیامک‌هایی که به اسم سامانه سهام عدالت، سامانه ثنا و امثالهم ارسال می‌شوند، پدیده پربحث این روزهاست. با همه‌گیری فضای مجازی و افزایش تراکنش‌های اینترنتی، کلاهبرداری اینترنتی هم به موازات آن رشد کرده و گسترش یافته است. اما به‌نظر می‌رسد فیلترینگ هم پدیده‌‌ای بود که بر آن مهر تأیید زد و با به خطر انداختن امنیت شبکه، میزان اتفاقاتی از این دست را به‌طرز چشمگیری افزایش داد.

گوگل پلی – یکی از منابع امن دانلود نرم‌افزار – یکی از مواردی است که میزان ورود بدافزارها به گوشی را کاهش می‌دهد و امنیت کاربر را تأمین می‌کند؛ اما فیلترینگ این پلتفرم هم مانند بسیاری از پلتفرم‌های دیگر، یک‌سالگی خود را پشت‌سر می‌گذارد. Google Play Store در تاریخ ۶ مارچ ۲۰۱۲ با تلفیق مارکت اندروید و سرویس‌های دیجیتالی دیگری عرضه شد و در بیش از  ۱۹۰ کشور مختلف در دسترس است و درواقع یکی از معدود کشورهایی که این فروشگاه اندرویدی در دسترس کاربرانش نیست، ایران است.

«صالح سوزن‌چی»، کارشناس امنیت شبکه، درباره تأثیر گوگل پلی بر کاهش نصب اپلیکیشن‌های مخرب گفت: «زمانی که استفاده از اپلیکیشن‌ها فراگیر شد، هرکسی می‌توانست اپلیکیشنی بنویسد و روی گوشی خود نصب کند. درنهایت مشخص شد که این اتفاقات امنیت شبکه را به خطر می‌اندازد. برای رفع این مشکل، گزینه‌ای روی دو سیستم‌عامل اندروید و آیفون فعال شد تا به اپلیکیشن‌هایی که امضای استاندارد ندارند، اجازه نصب داده نشود و تنها اپلیکیشن‌هایی اجازه نصب داشته باشند که از این دو استور دریافت شوند. از طرفی، برای اینکه این استورها انحصار ایجاد نکنند، گزینه‌ای تعبیه شد تا کاربران تنها درصورتی‌که بخواهند، اجازه نصب اپلیکیشن از سایر استورها را به دستگاه خود بدهند.»

او با اشاره به اینکه بزرگ‌ترین مشکلات شبکه از آنجایی شروع شد که افراد این گزینه را غیرفعال کردند، گفت: «زمانی که گوگل پلی در اختیار همه بود، افراد به‌راحتی اپلیکیشن‌های مورد‌نظر خود را دانلود می‌کردند و مطمئن بودند گوگل پلی امنیت را تضمین می‌کند. اینکه دیگر کسی سراغ دانلود اپ از سایت‌های دیگر نمی‌رفت چرخه نصب استانداردی ایجاد کرده بود. اما با فیلتر گوگل پلی، کاربران ناچارند تیک دانلود «فقط از این برنامه» را بردارند و حالا به هر چیزی اجازه نصب اپلیکیشن بدهند. به همین دلیل امنیت کل سیستم‌عامل کاهش یافته است، مخصوصاً وقتی پیامک‌های مربوط به سهام عدالت و امثالهم کاربران زیادی را ترغیب به کلیک‌کردن و نصب برنامه‌ها می‌کنند.»

سوزن‌چی درباره سیستم امنیت گوگل‌پلی توضیح داد: «طی سالیان اخیر بدافزارها در گوگل‌پلی هم بیشتر شدند و این استور ناچار شد یک سیستم محافظ برای خودش ایجاد کند. در واقع روی گوشی‌های جدید سیستمی وجود دارد که اپ‌ها را پس از نصب برای گوگل‌پلی می‌فرستد تا بررسی شوند.»

به گفته سوزن‌چی پیامک‌هایی مثل پیامک‌های سهام عدالت حاوی لینک دانلود اپلیکیشن‌هایی است که در بعضی از اپ‌استورهای داخلی موجود نیست و همین مساله نشان می‌دهد که این برنامه‌ها جعلی هستند، اما از طرفی او تأکید دارد که بسیاری از مردم امکان سنجیدن این موضوع را ندارند. به اعتقاد او، یکی دیگر از ویژگی‌های گوگل‌پلی این است که نسخه‌های نصبی اپلیکیشن‌ها را با نسخه‌ای که در خود این اپ‌استور هست تطابق می‌دهد و در صورت مشاهده تفاوت آن را بدافزار شناسایی می‌کند: «متاسفانه فیلترینگ تمام این خدمات را از کاربران گرفت.»

اپلیکیشن‌های مخرب روز به روز بیشتر می‌شوند

«علی اسدی»، دیگر کارشناس امنیت شبکه اما درباره تاثیرات گوگل‌پلی روی بالارفتن امنیت شبکه نظر دیگری دارد. او درباره انواع بدافزارهای موجود در فضای سایبری گفت: «ما اگر بخواهیم بدافزارها، جاسوس‌ابزارها و برنامه‌های مخرب را از نظر اجرایی دسته‌بندی کنیم، به دو دسته تقسیم می‌شوند. دسته اول مواردی هستند که اهداف عمومی دارند و مخاطبین و اهدافشان کاربران کل دنیا هستند. می‌بینیم که روزانه تعداد بسیاری از این برنامه‌ها ایجاد و منتشر می‌شوند و کاربران زیادی از کل دنیا دارند. مثل اپلیکیشن‌هایی که برای سرقت کیف پول رمزارز ایجاد می‌شوند. این نرم‌افزارها فعالیت بین‌المللی داشته و مختص یک کشور نیستند. اما دسته دوم برخلاف دسته اول صرفا مختص یک کشور است. در کشور ما مشکلی که با بدافزارها و آمار بسیار زیادی که از آن‌ها وجود دارد، اپلیکیشن‌هایی هستند که صرفا برای خالی‌کردن حساب بانکی کاربران ایرانی یا برای دسترسی دریافت و ارسال پیامک مورد استفاده قرار می‌گیرند.»

او با اشاره به اینکه در مورد شناسایی، تحلیل و حذف این بدافزارها در دسته اول برنامه‌ای قوی‌تر از گوگل وجود ندارد، گفت: «گوگل دسترسی کاملی به تمام دستگاه‌های اندرویدی دنیا داشته و می‌تواند با تحلیل آمار خود متوجه شود که مثلا کدام اپلیکیشن بدون اینکه در گوگل‌پلی منتشرشده باشد، به صورت ناگهانی در کل کشورهای دنیا درحال نصب است. همچنین براساس دسترسی‌ها و الگوهایی که دارد می‌تواند تشخیص دهد که آن برنامه بدافزار هست یا نیست تا بتواند آن را از دیوایس‌های اندرویدی حذف کند.»

به باور این کارشناس امنیت وجود چنین سازوکاری هم قطعا مفید و لازم است اما در مورد گروه دوم جوابگو نیست. او درباره اینکه آیا فیلترینگ گوگل‌پلی تأثیری در رشد بدافزارها داشته یا نه توضیح داد: «ما چندین سال در این مورد تحلیل و بررسی کردیم و حتی گزارشاتمان را نیز برای گوگل‌پلی فرستادیم. متاسفانه بررسی گوگل‌پلی با تأخیر زیادی انجام می‌شد. فیلترینگ و مواردی مانند افزایش هزینه باعث شده تا ۹۰ درصد اپلیکیشن‌ها به سمت دامین‌های رایگان و پسوندهای تی‌ال‌دی ارزان قیمت بروند. از طرفی هم بابت سرور یا هاست چون اجاره سرور ساعتی و یا روزانه به‌صرفه‌تر است به آن سمت می‌روند و مرتباً درحال تغییر اپلیکیشن‌های خود هستند. این باعث می‌شود سرعت ما درخصوص شناسایی اپ‌های ایرانی کاسته شده و از تأثیر آن بکاهد.»

به گفته اسدی طول کشیدن پاسخگویی بیش از دوهفته‌ای گوگل‌پلی درحالی است که اپلیکیشن‌های مخرب نهایتا تا یک هفته فعال بوده و در همین مدت از کاربران کلاهبرداری می‌کردند. بعد از آن هم با اپلیکیشن جدید سراغ کلاهبرداری‌های جدیدتر می‌رفتند. برای همین درخصوص تاثیر فیلترینگ گوگل‌پلی بر رشد بدافزارها در دسته اول تأثیر بسزایی دارد اما برای گروه دوم تأثیر آنچنانی ندارد. البته زمان‌هایی هم بود که یک اپلیکیشن تا یک ماه فعالیت می‌کرد و هشدار گوگل‌پلی می‌توانست مفید باشد.»

او استفاده از فیلترشکن‌ها را دیگر عامل به خطر افتادن امنیت شبکه دانست و عنوان کرد: «ما زمانی که یک اپلیکیشن را بدافزار تشخیص می‌دادیم فوراً آن را برای فیلترینگ گزارش می‌کردیم اما الان اکثر کاربران از فیلترشکن استفاده می‌کنند و از این مرحله می‌گذرند.»

آیا گوگل‌پلی یک آنتی‌ویروس است؟

به گفته سوزن‌چی گوگل‌پلی آنتی‌ویروس نیست بلکه یک هش‌چکر است؛ یعنی نمی‌تواند اپلیکیشن را باز کرده و آن را آنالیز کند. بلکه در سطح قابل قبولی فایل‌ها، ورژن‌ها و منابع را چک و با داده‌های خودش مقایسه می‌کند. بعد هم اگر هرکدام از این اطلاعات با اطلاعات گوگل‌پلی مغایرت داشته باشد نتیجه می‌گیرد که اپ غیر قانونی است. وقتی گوگل‌پلی متوجه این قضیه شود، فورا دستور حذف آن اپ را صادر می‌کند.»

او همچنین باور دارد روی بحث بدافزارها چون کدشان بعد از شناسایی توسط محققین مشخص است، هش و ساختارشان مشخص شده و روی دیتابیس گوگل‌پلی می‌رود. در این موارد می‌توان گفت که گوگل‌پلی می‌تواند مثل نوعی آنتی‌ویروس عمل کند.

اسدی درباره اینکه آیا می‌توان گوگل‌پلی را یک آنتی‌ویروس دانست یا نه توضیح داد: «تنها کاری که گوگل‌پلی انجام می‌دهد این است که به صورت روزانه اپلیکیشن‌های نصب‌شده روی دیوایس‌های اندرویدی را اسکن می‌کند. سپس بر اساس بررسی‌ دسترسی‌ها، روند و تعداد نصب اپلیکیشن‌ها آن‌ها را تحلیل می‌کند که این درصورت شناسایی بدافزار منجر به حذف اپلیکیشن می‌شود. این درحالی است که آنتی‌ویروس‌ها تمام فایل‌های موجود در گوشی را بررسی می‌کنند. حتی در بحث وبگردی موارد مرتبط با فیشینگ و سایت‌های مخرب را نیز شناسایی می‌کنند. این‌ها مواردی است که در پروتکشن گوگل‌پلی وجود ندارد. برهمین اساس نمی‌توان آن را آنتی‌ویروس دانست.»

او همچنین ادامه داد: «با این حال گوگل‌پلی کمک زیادی درخصوص شناسایی بدافزارها انجام می‌دهد و وجودش برای دیوایس‌های اندرویدی مهم و حیاتی است. هرکشوری که این قابلیت را از کاربرانش بگیرد قطعا به امنیت آنها ضربه می‌زند. اما در خصوص اینکه همین پلی‌پروتکت قابل اعتماد است یا نه گزارشاتی وجود دارد که اگر مراجعه کنید می‌بینید که تعداد بسیار زیادی بدافزار تست شده و تنها یک سوم آن توسط گوگل‌پلی تشخیص داده شده که این آمار خوبی نیست.»

بدافزارها چگونه رشد کردند؟

اسدی درباره اینکه چگونه چنین بدافزارهایی رشد کردند توضیح داد: «در مورد جلوگیری از فیشینگ و نصب بدافزار هم ما بررسی‌های زیادی برای ریشه‌یابی آن کردیم و متوجه شدیم که پیش از رفتن به سوی پیامک‌هایی درباره ثنا، قوه قضائیه و… فعالیت‌شان به سایت‌های دانلود نرم‌افزار مودشده محدود بوده و کاربر آن‌ها را دانلود و نصب می‌کرد. موارد اینچنینی در شروع این اتفاق تاثیر بسزایی داشت. مورد بعدی گروه‌ها و کانال‌های تلگرامی مستهجن بودند که این روند را رشد دادند. همه این موارد از اینجا شروع شد که دسترسی کاربر را بگیرند و با ارسال پیامک این مورد را گسترش دهند.» او همچنین اشاره کرد که شماره‌های کاربران نیز به صورت رندوم نبود و با رشد فضای مجازی و تحلیل و بررسی درباره صاحبان آن شماره‌ها صورت گرفته است. بعد از این اتفاق بسیاری از پلفترم‌های خدمات‌دهنده محدودیت‌هایی را برای لاگین اعمال کردند.

جمع‌بندی

وزیر ارتباطات بارها از لزوم برداشته شدن فیلترینگ گوگل‌ پلی صحبت کرده و تنها جایی که نظر تخصصی پیرامون فیلترینگ یک پلتفرم داده و پای آن ایستاده، در مورد همین مسدودسازی گوگل پلی بوده است. با این حال آنطور که زارع‌پور می‌گوید، با این موضوع در کارگروه فلیترینگ مخالفت شده و مشخص نیست چرا تصمیم‌گیران به آسیب‌هایی که این فیلترینگ وارد کرده، توجه نمی‌کنند. فیلترینگ گوگل‌ پلی جدا از اینکه آسیب‌های مالی جبران ناپذیری به برخی صنایع نظیر صنعت موبایل گیمینگ در ایران زده، می‌تواند به امنیت شبکه هم خدشه عظیمی وارد کند و بر اساس شنیده‌های ، توانسته آمارهای فیشینگ را رشد ببخشد. باید دید این تصمیم قرار است تا کی تداوم داشته باشد و آیا سیاستمداران قرار است که به خطرات این فیلترینگ بیشتر توجه کنند یا خیر.