رمزنگاری پوشالی، رسوایی امنیتی در اپلیکیشن‌های چینی

تحقیقات دانشگاه پرینستون و سیتیزن لب نشان می‌دهد تقریباً نیمی از اپلیکیشن‌های فروشگاه می‌استور شیائومی از رمزنگاری ناامن استفاده می‌کنند؛ سطحی از آسیب‌پذیری که تنها ۳.۵۱ درصد از اپ‌های گوگل‌پلی گرفتار آن هستند.

به گزارش اقتصادآنلاین، تحقیقات مشترک دانشگاه پرینستون و آزمایشگاه سیتیزن‌لب در گزارشی جدید، پرده از یک واقعیت نگران‌کننده در امنیت اپلیکیشن‌های اندرویدی چینی برداشت: ۴۷.۶ درصد اپلیکیشن‌های می‌استور شیائومی از رمزنگاری ناایمن استفاده می‌کنند. در مقابل، این رقم برای اپلیکیشن‌های منتشرشده در فروشگاه گوگل‌پلی تنها ۳.۵۱ درصد است. این اختلاف فاحش، امنیت میلیون‌ها کاربر جهانی را در معرض تهدید مستقیم قرار داده است.

در این مطالعه، ۱۶۹۹ اپلیکیشن اندرویدی مورد بررسی قرار گرفت که از این میان، ۸۸۲ برنامه از گوگل‌پلی و ۸۱۷ اپلیکیشن از می‌استور انتخاب شدند. نتایج نشان می‌دهد که نه‌تنها امنیت ارتباطات کاربر در می‌استور به‌شدت پایین است، بلکه محبوب‌ترین اپلیکیشن‌ها، یعنی آنهایی که بیش از یک میلیارد دانلود داشته‌اند، بیشتر از بقیه از پروتکل‌های ناامن بهره می‌برند.

هرچه پرکاربردتر، ناامن‌تر

پژوهشگران هشدار داده‌اند که در میان اپ‌هایی با بیش از یک میلیارد نصب، ۶۷.۲ درصد از رمزنگاری ناقص استفاده کرده‌اند. حتی در اپ‌های با کمتر از ۵۰ میلیون نصب نیز این رقم به ۴۰.۸ درصد می‌رسد؛ آماری که نشان می‌دهد ضعف امنیتی تنها به برنامه‌های ناشناس یا توسعه‌دهندگان کوچک محدود نیست، بلکه در قلب اکوسیستم دیجیتال چینی جا خوش کرده است.

محققان با مهندسی معکوس ۹ سیستم رمزنگاری رایج در اپ‌های اندرویدی، نشان دادند که ۸ مورد از آنها داده‌ها را به شکل قابل شنود برای مهاجمان شبکه ارسال می‌کنند. برخی از این سیستم‌ها توسط غول‌های فناوری چین، از جمله علی‌بابا، تنسنت، iQIYI و Kuaishou توسعه یافته‌اند. به‌طور مثال، SDK معروف mPaaS علی‌بابا که در اپلیکیشن‌هایی مثل UC Browser استفاده می‌شود، داده‌های کاربران را با کلید رمزگذاری ثابت و قابل‌استخراج ارسال می‌کند؛ وضعیتی که عملاً امنیت اطلاعات را به یک شوخی تبدیل می‌کند.

حملات مرد میانی، کابوس کاربران چینی و غیرچینی

این رمزنگاری‌های ضعیف فقط در حد تئوری مشکل‌ساز نیستند. پژوهشگران هشدار داده‌اند که ۴۹.۱ درصد اپلیکیشن‌های می‌استور در تأیید گواهی TLS شکست خورده‌اند، موضوعی که آنها را به طور کامل در برابر حملات مرد میانی (MITM) بی‌دفاع می‌گذارد. در این حملات، مهاجم می‌تواند داده‌های ردوبدل‌شده بین کاربر و سرور را شنود یا حتی دستکاری کند.

اشتباهات رایج این اپ‌ها شامل موارد زیر است:

استفاده از الگوریتم‌های رمزنگاری منسوخ مانند DES و نسخه‌های ضعیف‌شده AES بدون مکانیزم احراز هویت.
به‌کارگیری کلید‌های رمز ثابت که به‌راحتی قابل حدس یا استخراج هستند.
تولید ضعیف کلید‌ها با روش‌های غیرتصادفی یا وابسته به مقادیر شناخته‌شده.
اجرای نادرست TLS بدون بررسی اعتبار گواهی‌ها.

این یافته‌ها در شرایطی منتشر شده که بسیاری از کاربران جهانی به دلیل قیمت و تنوع اپلیکیشن‌ها به‌ویژه در گوشی‌های برند‌های چینی، از فروشگاه‌هایی مانند می‌استور استفاده می‌کنند، بی‌آنکه از حجم خطرات پنهان در پس هر کلیک آگاه باشند.

واکنش شیائومی؟ سکوت

درحالی‌که این گزارش علمی به وضوح زنگ هشدار برای یکی از مهم‌ترین بازار‌های اپلیکیشنی جهان است، شیائومی و سایر شرکت‌های اشاره‌شده تاکنون واکنشی رسمی به این افشاگری نشان نداده‌اند. سکوتی که می‌تواند به کاهش اعتماد جهانی به اکوسیستم نرم‌افزاری شرکت‌های چینی منجر شود، به‌خصوص در کشور‌هایی که تنش‌های ژئوپلیتیکی بر مناسبات تکنولوژیک سایه انداخته است.

تحلیلگران امنیتی هشدار داده‌اند اگر این شرکت‌ها به سرعت سیستم‌های رمزنگاری خود را به استاندارد‌های جهانی ارتقا ندهند، نه‌تنها احتمال افشای اطلاعات کاربران افزایش خواهد یافت، بلکه احتمال تحریم فروشگاه‌ها و اپلیکیشن‌های چینی در بازار‌های بزرگ جهانی مانند آمریکا، اروپا یا حتی هند نیز قوت می‌گیرد.

با درنظر گرفتن سرعت گسترش اپ‌های چینی و اعتماد کاربران ایرانی به برند‌هایی مانند شیائومی، خطر افشای داده‌ها دیگر صرفاً یک موضوع خارجی نیست؛ بلکه تهدیدی واقعی برای امنیت دیجیتال شهروندان داخلی است که باید جدی گرفته شود.