آیا بازارهای اپلیکیشن اندروید ایمن هستند؟

راه‌اندازی بازارهای اپلیکیشن مختلف به علت محبوبیت روز افزون اندروید، سبب نگرانی کاربران در خصوص امنیت اپ‌ها شده‌است. در این مقاله به بررسی و معرفی مکانیزم‌های امنیتی این بازارها می‎پردازیم.

بازارهای اپلیکیشن اندروید

اندروید یکی از محبوب‌ترین سیستم‌عامل‌های تلفن همراه در جهان است که تعداد اپ‌های موجود در بازار رسمی آن، گوگل‌ پلی (Google Play)، از ۲.۷ میلیون فراتر رفته است. محبوبیت گسترده اندروید موجب فعالیت‌های مخرب مانند بارگذاری بدافزار (Malware) یا دزدی غیرقانونی شده و هکرها را به خود جذب کرده است. محدودیت دسترسی به گوگل پلی توسط دولت‌ها در بعضی از مناطق جهان و متن‌باز بودن اندروید، موجب شروع به کار بازارهای اپلیکیشن مختلفی مانند یاندکس(Yandex) در روسیه، اپ‌وی‌ان (Appvn) در ویتنام، ، می استور (Mi Store) در چین، کافه بازار در ایران (Cafe Bazaar)، آپ‌تو‌داون (UptoDown) در اسپانیا و اپتوید (Aptoide) در پرتغال  شده است. همچنین بسیاری از بازارهای اپلیکیشن مانند اپتوید و گتجر (Getjar) با ارائه اپ‌هایی که گوگلی پلی آن‌ها را حذف کرده است، در رقابت با گوگل پلی هستنند. گوگل پلی مدت‌هاست که بیشترین سهم بازار را در اختیار دارد اما اخیراً تعدادی از بازارهای اپلیکیشن به طور فزاینده‌ای محبوب شده‌اند و حق انتخاب‌ بیشتری پیش روی کاربران اندروید قرار گرفته است. این موضوع سؤالاتی در مورد امنیت و رقابت این بازارها ایجاد کرده است. از آنجا که اکوسیستم اندروید روزبه‌روز پیچیده‌تر و متنوع‌تر می‌شود، باید توجه جدی به امنیت اکوسیستم داشت. در این مسیر شرکت‌هایی مانند اپتوید نیز به ما یادآوری می‌کنند که این نقش را به طور کامل به گوگل واگذار نکنیم.

نتایج تحقیق دانشگاه واسدا (Waseda)

این مطالعه توسط محققان امنیتی دیجیتال دانشگاه واسدا و آزمایشگاه‌های Platform Secure NTT انجام شده است. دانشگاه واسدا که به خاطر ظرفیت‌های بالای تحقیقاتی‌اش مشهور است، سومین دانشگاه برتر ژاپن بوده و در رتبه‌بندی دانشگاه‌های جهان توسط مؤسسه کاکارلی سیموندز (Quacquarelli Symonds) در سال ۲۰۱۹ در رتبه ۲۰۸ جای گرفته است. همچنین آزمایشگاه ذکر شده، یکی از زیر مجموعه‌های شرکت نیپون (Nippon) است که این شرکت رتبه ۵۱ را در رتبه‌بندی مجله فوربز در سال ۲۰۱۹ کسب کرده است.

در این مقاله فرض شده هر چقدر یک اپ توسط محققان بیشتر دیده شود و مورد بررسی قرار بگیرد، از امنیت بیشتری برخوردار است. این ویژگی با استفاده از آنتی‌ویروس‌های آنلاین بررسی شده است. در صورتی که یک اپ اسکن شده باشد، احتمالاً امن‌تر است. سرویس استفاده شده، ویروس‌توتال (VirusTotal) است. آنتی‌ویروس آنلاینی که شامل بیش از ۶۰ آنتی‌ویروس تجاری مختلف است. برای هر بازار اپلیکیشن، درصد اپ‌هایی که توسط ویروس‌توتال اسکن نشده، محاسبه شده است. بر طبق نتایج، کافه بازار نرخ عدم اسکن بالایی (۷۵.۶٪) داشته است. البته اپ‌های اسکن نشده توسط این آنتی ویروس، مورد بررسی محققان قرار گرفته‌ و درصد بالایی از آن‌ها سالم بوده‌اند که در ادامه به آن می‌پردازیم.

نرخ عدم اسکن اپ‌ها توسط آنتی‌ویروس ویروس‌توتال
نرخ عدم اسکن اپ‌ها توسط آنتی‌ویروس ویروس‌توتال

عوامل مختلفی شاخص امنیتی یک بازار اپلیکیشن را تعیین می‌کنند. به عنوان مثال، اگر یک بازار دارای اپ‌های مخرب زیادی باشد، اما برای جلوگیری از دانلود آن توسط کاربران تلاش شود؛ می‌توان چنین بازاری را تا حدی ایمن دانست. عوامل زیر در این مقاله مورد بررسی قرار گرفته‌اند:

  1. نرخ اپ‌های ایمن
  2. سیستم بازبینی
  3. نمایش دسترسی‌های اپ
  4. سیستم گزارش‌دهی
  5. علامت برجسته امنیت
  6. وجود HTTPS

برای تعیین یک اپ به عنوان بدافزار، از یک آستانه محافظه‌کارانه استفاده شده است. هر اپ‌ که حداقل ۱۰ بار به عنوان بدافزار شناسایی شده باشد، بدافزار تلقی می‌شود. همچنین هر اپ اگر حداقل ۱۰ بار شناسایی شده و حداقل یک بار برچسب تبلیغات مزاحم گرفته باشد، به عنوان اپ تبلیغاتی مزاحم (Adware) شناسایی می‌شود.

با توجه به نتایج، ژنوم (Genome) یک مجموعه کامل بدافزار است. بازارهای چینی مانند اپ‌چاینا (Appchina) و آنژی (Anzhi) دارای تعداد زیادی بدافزار هستند. اف‌دروید (F-Droid) کمترین تعداد اپ‌ تبلیغاتی مزاحم و بدافزار را داشته است. با توجه به ماهیت محدود این فروشگاه، این نتیجه شگفت‌آور نیست. اف‌دروید یک بازار اپلیکیشن متن‌باز است که میزبان تعداد مشخصی از اپ‌هایی‌ست که به روشی خاص طراحی شده‌اند. امنیت آن بسیار خوب است اما فقط در حدود ۲۶۰۰ اپ کاربردی دارد و برای کاربران معمولی یک گزینه محدود است.

بر طبق نتایج، گوگل‌پلی و کافه‌ بازار دارای تعداد زیادی اپ‌ مطمئن هستند. کافه بازار بر خلاف این که نرخ عدم اسکن بالایی داشت، اما در جایگاه دوم از نظر میزان اپ‌های مطمئن قرار دارد. در این آمار گوگل پلی رتبه هشتم را کسب کرده است. این نتیجه نشان می‌دهد که حتی بازارهای اپلیکیشنی که قبلا توسط محققان بررسی نشده‌اند، می‌توانند نرخ پایینی از بدافزارها را داشته باشند. همچنین ۱۵٪ از اپ‌های موجود در کافه بازار با اپ‌های موجود در گوگل پلی مشترک هستند. این میزان برای اشتراک بدافزار‌ها، ۳۰٪ است. البته بدافزار‌ها همیشه در بازار‌های اپلیکیشن وجود خواهند داشت. نکته مهم وجود یک مکانیزم امنیتی برای مقابله و شناسایی آن‌ها است که در ادامه به آن می‌پردازیم.

فروشگاه برنامه بایدو (Baidu) بالاترین شاخص امنیتی را در بین چینی‌ها داشته است. به طور قطع این مطالعه محدودیت‌های خاصی دارد. به عنوان مثال فروشگاه‌های برجسته چین مانند تنسنت مای‌اپ (Tencent My App) و هوآوی (Huawei) مورد مطالعه قرار نگرفته‌اند.

توزیع اپ‌ها در بازارهای اپلیکیشن اندروید
توزیع اپ‌ها در بازارهای اپلیکیشن اندروید

بعد از بررسی سطح ایمنی بازارهای اپلیکیشن مختلف، مقایسه‌ای بین رتبه الکسا (Alexa) و شاخص امنیت انجام شده است. نتایج نشان می‌دهد که بهترین شاخص امنیت را اپتوید دارد. قابل توجه است که بسیاری از بازارهای اپلیکیشن با وجود رتبه خوب الکسا ماند بایدو و می استور دارای شاخص امنیتی پایینی هستند. شرکت یاندکس نیز با وجود عقد قرارداد با آنتی‌ویروس کسپراسکای (kaspersky) و رتبه الکسای خوب، شاخص امنیتی پایینی داشته است. این بازارهای اپلیکیشن که کاربران زیادی دارند، نیاز به بهبود شاخص امنیتی خود دارند. از آنجا که شاخص‌های پایین، به دلیل نرخ بالای بدافزارها ایجاد می‌شوند؛ باید مکانیزمی برای حذف سریع اپ‌های شناسایی شده تدوین گردد.

مقایسه شاخص امنیتی و رتبه الکسا بازارهای اپلیکیشن
مقایسه شاخص امنیتی و رتبه الکسا بازارهای اپلیکیشن

پیشنهاد محققین به ذینفعان اکوسیستم اندروید

محققین با توجه به یافته‌های خود، پیشنهادهای زیر را به ذینفعان اکوسیستم اندرویدی پیشنهاد کرده‌اند.

کاربران نهایی:

برای اطمینان از ایمنی اپ‌ها، شاخص‌های گفته شده را بررسی کنند.

توسعه‌دهندگان اپ:

وجود نسخه‌های مشابه در فروشگاه‌های مختلف را بررسی کنند. با توجه به احتمال انتشار اپ‌های مشابه بدون اجازه توسعه‌دهندگان، اقدامات لازم برای جلوگیری از کپی‌برداری را انجام دهند. برای اپ‌های پولی، علاوه بر انجام مراحل فوق، کتابخانه تأیید مجوز (License Verification Library – LVL) را نیز اجرا کنند. اجرای مناسب آن می‌تواند مانع از راه‌اندازی چندین نسخه مشابه از یک اپ شود.

بازارهای اپلیکیشن:

شاخص‌های امنیتی ارائه شده را بهبود دهند تا امنیت اپ‌ها برای کاربران نهایی قابل مشاهده و  اندازه‌گیری باشد. به اشتراک‌گذاری اطلاعات در مورد اپ‌های مخرب و یا اپ‌های کپی شده غیرقانونی، مفید خواهد بود.

مکانیزم‌های امنیتی در بازارهای اپلیکیشن

بازارهای اپلیکیشن اندرویدی برای تأمین امنیت اپ‌های بارگذاری شده، مکانیزم‌های مختلفی را طراحی و پیاده‌سازی کرده‌اند. در ادامه مقاله عملکرد چهار بازار اپلیکیشن اپتوید، گوگل پلی، کافه بازار و تنسنت مای اپ مورد بررسی قرار گرفته‌اند.

اپتوید

نشان امنیتی اپتوید
نشان امنیتی اپتوید

این بازار اپلیکیشن که در کشور پرتغال  شروع به کار کرده با با بیش از ۲۵۰ میلیون کاربر و بیش از یک میلیون اپ، یکی از رقیبان گوگل پلی محسوب می‌شود. مهم‌ترین مزیت آن دانلود رایگان اپ‌های پولی است. اخیراً این شرکت یک سایت تبلیغاتی راه‌اندازی کرده و از گوگل درخواست کرده تا به انحصارگرایی خود  پایان دهد. اپتوید معتقد است که گوگل با پرچم‌گذاری و تعلیق آن‌ها از گوگل پلی، رفتارهای ضدرقابتی را در پیش گرفته است تا کاربران نتوانند اپتوید را نصب کنند. این شرکت چندین بار از طریق فرم بازخورد گوگلی پلی پروتکت (Google Play Protect) و لینکدین (LinkedIn) با گوگل تماس گرفته،‌ اما هیچ پاسخی برای عدم نمایش اپتوید دریافت نکرده است. این شرکت چندین روش برای برقراری امنیت را مورد استفاده قرار می‌دهد.

  • این شرکت معتقد است که رویکرد امن‌تری نسبت به گوگل پلی دارد. گوگل پلی همه اپ‌ها را با روش یکسانی صحت‌سنجی می‌کند. اما آن‌ها رویکردی به نام امنیت از طریق طراحی (Security by Design) دارند. هر اپ با توجه به اعتبار برنامه‌نویس یکی از چهار نشان Warning، Unknown، Critical و ‌Truste را دریافت می‌کند. اپ‌هایی که نشان Trusted را دارند؛ از نظر اپتوید ۱۰۰٪ امن هستند. اگر سیستم‌های ضد بدافزار مشکلاتی را تشخیص دهند، اپ نشان Critical گرفته و کاربران اصلاً آن را نمی‌بینند. با وجود تمام فناوری‌هایی که برای کشف بدافزار‌ها توسعه داده شده است، این شرکت اپ‌های جدید از توسعه‌دهندگان جدید را خطرناک می‌داند. به همین دلیل چنین اپ‌هایی نشان Unknown را دارند تا مردم رأی اعتماد آن را صادر کنند. این عمل ممکن است چندین هفته یا حتی چندین ماه طول بکشد.
  • همه اپ‌های بارگذاری شده توسط مکانیزم‌های امنیتی داخلی (Aptoide Anti-Malware Platform) متشکل  از ۶ آنتی‌ویروس بررسی می‌شوند.
  • امضای دیجیتال منحصر به فرد برنامه‌نویس بررسی می‌شود تا از عدم تغییر در محتویات اپ اطمینان حاصل شود.
  • کاربران توانایی امتیازدهی به اپ‌ها را دارند.
  • کاربران در صورت وجود مشکل، می‌توانند آن را گزارش کنند.

گوگل پلی

گوگل پلی پروتکت
گوگل پلی پروتکت

گوگل پلی با بیش از ۲.۵ میلیارد کاربر و بیش از ۲.۷ میلیون اپ،  بزرگ‌ترین   بازار اپلیکیشن اندروید است. در سال ۲۰۱۷ با راه‌اندازی گوگل پلی پروتکت،  گوگل تضمین برقراری امنیت کامل در گوشی‌های اندروید را داد. یک سیستم چندبخشی که با استفاده از الگوریتم‌های یادگیری ماشین (Machine Learning) کار می‌کند. این سیستم شامل چندین بخش است.

  • گوگل پلی پروتکت به دلیل اینکه برای کمک به حفظ امنیت دستگاه‌ها به صورت پیش فرض بر روی آن‌ها نصب شده است، نه تنها اپ‌های موجود در گوگل پلی بلکه تمامی اپ‌های موجود در دستگاه‌ها را برای جلوگیری از ورود فایل‌های مخرب اسکن می‌کند. مهم نیست که اپ را از کجا دانلود کرده باشید. البته این ویژگی موجب حذف ناعادلانه بازار اپلیکیشن اپتوید از گوگل پلی شده است. همچنین به طور دوره‌ای دستگاه‌ها را اسکن کرده و اگر مورد مشکوکی پیدا شود از سه طریق اطلاع‌رسانی می‌شود.
    • ارسال اعلان به عنوان اخطار در مورد اپ مشکوک
    • ارسال اعلان برای حذف اپ توسط خودتان
    • ارسال اعلان حذف اپ توسط گوگل پلی پروتکت به دلیل وجود بدافزار در آن

طبق بررسی‌های انجام شده در مقاله مقابسه گوگل پلی و بازارهای اپلیکیشن چینی در سال ۲۰۱۸، در یک بازه هشت ماهه، ۸۴٪ از بدافزارهای موجود در گوگل پلی حذف شده است. این نتایج نشان می‌دهد که حتی گوگل پلی پروتکت حتی توانایی مسدود کردن بدافزارها را  پیش از انتشار نداشته و پس از انتشار، به روش‌های مختلف آن‌ها را شناسایی کرده و حذف می‌کند.

  • همه اپ‌ها قبل از ورود به گوگل پلی، تحت تست‌های امنیتی شدید قرار می‌گیرند. هر اپ و توسعه‌دهنده‌‌ای که سیاست‌های گوگل پلی را نقض کند، به حالت تعلیق درمی‌آید. مهم‌ترین دسترسی‌هایی که منجر به تعلیق‌ اپ‌ها توسط گوگل پلی شده، عبارت‌اند از:
    • تقویم
    • تاریخچه تماس
    • دوربین
    • مکان
    • مخاطبین
    • میکروفون
    • تلفن
    • حسگر
    • پیامک
    • حافظه
  • در صورت گم شدن دستگاه، Find My Device به صاحب دستگاه کمک خواهد کرد. اقدامات مختلفی می‌توان از طریق این سامانه انجام داد:
    • مکان‌‌یابی
    • قفل کردن از راه دور
    • نمایش پیغام بر روی صفحه قفل برای ارتباط با فرد یابنده
    • حذف اطلاعات موجود در دستگاه در صورت عدم یافتن دستگاه
  • همچنین با مرورگر کروم (Chrome) نیز همگام می شود تا از بدافزارهای موجود در وب محافظت کند. اگر کد مخرب در سایتی شناسایی شود، اعلان هشداری می‌شود.

کافه بازار

سپر امنیتی کافه بازار
سپر امنیتی کافه بازار

کافه بازار که در ایران  شروع به کار کرده در حدود ۴۰ میلیون کاربر و بیش از ۱۳۲ هزار اپ و ۳۲ هزار بازی دارد. طبق تحقیقات ذکر شده یکی از امن‌ترین بازارهای اپلیکیشن شناخته شده است. این  شرکت نیز برای برقراری امنیت، چندین روش مختلف را اجرا می‌کند.

  • اپ‌های ارسالی با دقت کامل بررسی و در صورت مشاهده رفتار مشکوک سریعاً نسبت به حذف اپ از بازار اقدام می‌شود.در این لینک می‌توان بیشتر در مورد شرایط کافه بازار مطالعه کرد.
  • تمامی اپ‌های موجود و یا دانلود شده از بازار همراه با همه آپدیت‌ها، با ۱۰ آنتی‌ویروس (شامل Lookout، Kaspersky و Bitdefender) به صورت مداوم و خودکار بررسی می‌شوند تا عاری از هرگونه ویروس و بدافزار دیگر باشند.
  • کاربران در صورت مشاهده هرگونه رفتار مخرب در یک برنامه، می‌توانند با استفاده از دکمه «شکایت از برنامه»، تخلف را گزارش کنند.
  • ارسال اعلان توسط سپر امنیت بازار برای حذف‌ اپ‌های از قبل نصب شده به دلیل وجود بدافزار
  • برنامه‌های زیر در کافه بازار مخرب شناخته می‌شوند.
    • تبلیغات مزاحم
    • فریب کار بر
    • داده‌ ربایی
    • تروجان

تنسنت مای اپ

تنسنت مای اپ
تنسنت مای اپ

محبوب‌ترین بازار اپلیکیشن در چین با بیش از ۲۵۰ میلیون کاربر است که به صورت پیش‌فرض در دستگاه‌های شرکت Smartisan نصب شده است. به نظر این فروشگاه با هکرها رفتار خوبی داشته و اجازه انتشار بدافزار، اپ‌های جعلی و کپی شده را داده است. این بازار اپلیکیشن به تنهایی ۷۰۹۸۸ اپ بدافزار را در خود جای داده است. در این شرکت نیز رویکرد‌های مختلفی برای امنیت خود در پیش گرفته است.

  • استفاده از بازرسی‌های انسانی در این شرکت یکی از رویکردهاست.
  • امتیازدهی کاربران در بررسی اپ‌ها مورد توجه قرار گرفته است؛ اما ۸۰٪ اپ‌ها امتیازی دریافت نکرده‌اند.
  • کاربران توانایی گزارش اپ‌ها را دارند.
  • سطح توسعه‌دهنده نیز در تعیین کیفیت اپ‌ها مورد توجه این شرکت است.
  • رویکردهای خودکار نیز برای بررسی امنیت اپ‌ها انجام می‌شود.