۱۳۹۴/۰۳/۰۳

بررسی مشکلات امنیتی و حریم خصوصی مرورگر یو سی (UC BROWSER)


این مطلب برگرفته از سایت اصل 19 می باشد

سیتیزن لب (Citizen Lab) یک سازمان میان رشته‌ای در دانشکده امور جهانی مانک در دانشگاه تورنتو کانادا است. هدف و تمرکز این سازمان، تحقیق و توسعه‌ی پیشرفته در زمینه‌های فناوری اطلاعات و ارتباطات ، حقوق بشر و امنیت جهانی است.

جدیدترین گزارش این سازمان تحقیقی بر مرورگر UC Browser که مشهورترین مرورگر تلفن همراه در چین و هند است و به بیش از ۵۰۰ میلیون کاربر خدمات ارائه می دهد. طی این پژوهش٬ سیتیزن لب متوجه شده است که هر دو نسخه‌ی نرم افزار، میزان قابل توجهی از اطلاعات شخصی و اطلاعات هویتی را فاش‌می‌کند. در نتیجه، هر اپراتور شبکه‌ای و یا هر فرد حاضر در مسیر شبکه می‌تواند اطلاعات دقیق شناسایی کاربران را با رمزگشایی ترافیک و یا مشاهده ترافیکِ رمزنگاری نشده، دریافت کند.

اصل ۱۹ چکیده‌ی این گزارش را به فارسی ترجمه کرده است تا کاربران ایرانی این مرورگر از مشکلات امنیتی و حریم خصوصی این ابزار آگاه شوند. امیدواریم که این کاربران در استفاده از UC Browser و ابزار مشابه آگاهانه‌تر عمل کنند و برای حفظ اطلاعات و حریم خصوصی خود از استفاده از این مرورگر دست بکشند.

در ادامه این متن٬ هرکجا از کلمه «ما» استفاده شده منظور سازمان سیتیزن لب است.

بخش اول – معرفی و نگاه کلی
مرورگر UC Browser مشهورترین مرورگر تلفن همراه در چین و هند است که به بیش از ۵۰۰ میلیون کاربر خدمات ارائه می دهد. این گزارش تحلیل جزئی از نحوه مدیریت و انتقال داده های کاربران، به خصوص داده های خصوصی، در زمان فعالیت UC Browser ارائه می دهد. جرقه اول این تحقیق براساس یکی از اسنادی که ادوارد اسنودن افشا کرد زده شد که رادیو تلویزیون کانادا (Canadian Broadcasting Corporation – CBC) در حال تهیه داستانی از آن بود. CBC طی تماسی خواستار نظر  و توضیح ما در این رابطه شد. به نظر می رسد این اسناد توسط آژانس اطلاعات سیگنال کانادا زیر مجموعه مرکز امنیت اطلاعات (CSE) تهیه شده است و عنوان می کند که حفره های امنیتی در UC Browser وجود دارد. با توجه به تحقیقات پیشین سیتیزن لب (Citizen Lab) در رابطه با ابزارهای ارتباطی مشهور در آسیا و احتمال این که حفره های امنیتی تعداد زیادی از کاربران را در خطر قرار دهد، تصمیم گرفتیم UC Browser را به طور مستقل مورد بررسی قرار دهیم. در حالی که رسانه ها در حال انتشار اسناد CSE هستند، ما نمی توانیم مطمئن باشیم که مشکلات شناسایی شده در UC Browser همان ایراد هایی باشد که در گزارش سال 2012 CSE به آن ارجاع داده شده است.

خلاصه ای از یافته ها
ما مجموعه ای از مشکلات بزرگ امنیتی و حوزه خصوصی را در نسخه انگلیسی زبان و چینی زبان UC Browser اندروید یافتیم. اخطار ما به شرکت های مادر با جزییات در ادامه آمده است. ما متوجه شدیم که هر دو نسخه نرم افزار، میزان قابل توجهی از اطلاعات شخصی و اطلاعات هویتی را درز می دهند، در نتیجه، هر اپراتور شبکه ای و یا هر فرد حاضر در مسیر شبکه می تواند اطلاعات دقیق شناسایی کاربران را با رمزگشایی ترافیک و یا مشاهده ترافیک رمزنگاری نشده، دریافت کند. به طور خاص مشکلاتی که ما یافتیم شامل موارد زیر می شود:

انتقال اطلاعات شناسایی فردی و عناوین جست و جو بدون رمزنگاری:
– در نسخه چینی، اطلاعات کاربر شامل IMSI، IMRI، ID اندروید و آدرس MAC شبکه بی سیم، بدون رمزنگاری به Umeng، ابزار آماری Alibaba فرستاده می شود.

– در نسخه چینی، داده های موقعیتی کاربر، شامل طول و عرض جغرافیایی و نام خیابان بدون رمزنگاری به AMAP، ابزار نقشه برداری Alibaba ارسال می شود.

– عناوین جست و جوی کاربران بدون رمزنگاری در زبان چینی به موتور جست و جوی Shenma و در نسخه انگلیسی به موتور جست و جوی Yahoo هند و گوگل ارسال می شود.

– دلایل نگرانی: انتقال بدون رمزنگاری اطلاعات شناسایی، داده های موقعیتی و عناوین جست و جو، نشان دهنده یک ریسک در حوزه خصوصی کاربران است که به هر فردی که به ترافیک شبکه دسترسی دارد اجازه می دهد که کاربر و دستگاه های او را شناسایی کرده و داده های خصوصی جست و جوی کاربران را جمع آوری کند.

انتقال اطلاعات شناسایی فردی و داده های موقعیت مکانی با استفاده از یک روش رمزنگاری ساده:
– موقعیت مکانی و داده های کاربر شامل IMSI، IMEI و داده ها در رابطه با برج های مخابراتی نزدیک و نقاط دسترسی WiFi از طریق یک رمزنگاری ساده AMAP، ابزار نقشه برداری Alibaba ارسال می شود.

– دلایل نگرانی: انتقال اطلاعات شناسایی مشترکان، شناسه تلفن های همراه و داده های موقعیت مکانی کاربر با استفاده از یک رمزنگاری ساده، نگرانی در رابطه با امنیت و حوزه خصوصی کاربران را افزایش می دهد.

اطلاعات خصوصی کاربران حتی پس از پاک کردن کش نرم افزار بر روی دستگاه باقی خواهد ماند:
– در نسخه زبان چینی، زمانی که کاربران تلاش کنند که داده های خصوصی خود را از طریق پاک کردن کش نرم افزار حذف کنند، جست و جوهای DNS حذف نخواهند شد.

– دلایل نگرانی: ذخیره و نگهداری جست و جوهای DNS به ابزارهای سوم شخص که به دستگاه کاربر دسترسی دارند، اجازه می دهد که به سایت هایی که کاربر بازدید کرده است دسترسی یابند.

این گزارش ادامه پژوهش Citizen Lab در زمینه امنیتی و حوزه خصوصی در نرم افزار های تلفن همراه در آسیا است. پژوهش های پیشین ما شامل تحقیقات از روش های سانسوری است که موتورهای جست و جو گوگل، مایکروسافت و یاهو در کنار موتور جست و جوی داخلی چین، Baidu ارائه می دهند. علاوه بر این، ما کلیدواژه سانسور و نظارت (Censorship & Surveillance) را در TOM-Skype (نسخه چینی زبان اسکایپ در آن زمان) و کلیدواژه سانسور را در Sina UC (یک پلت فرم پیام فوری چینی) تحلیل کرده ایم. ما در حال حاضر در حال جمع آوری تحلیل های مقایسه ای از نرم افزارهای چت تلفن همراه مورد استفاده در آسیا از جمله WeChat، لاین و KakaoTalk هستیم.


منبع و لینک این مطلب در سایت اصل 19
https://asl19.org/uc-browser-citlab-summary

منبع و لینک گزارش کامل در سایت Citizen Lab
https://citizenlab.org/2015/05/a-chatty-squirrel-privacy-and-security-issues-with-uc-browser

هیچ نظری موجود نیست:

ارسال یک نظر