چگونه تلفن همراه‌تان شما را تسلیم شرکت‌ها [یا خرابکاران] می‌کند

NSA تنها جمع‌آوری کننده اطلاعات ترافیک اینترنت نیست، خرده‌فروش‌ها و هکرها هم این کار را می‌کنند!

آن‌چه در ادامه می‌خوانید نگرانی خارجی‌ها از بابت جمع‌‌آوری داده‌های متنوع مربوط به ابزارهای هوشمند، از طریق شبکه‌های بی‌سیم است. ابزارهای هوشمندی که این روزها همانند جزیی از یدن‌مان، آن‌ها را دایما با خودمان این‌طرف و آن‌طرف می‌بریم. شاید جامعه ما هنوز تا نمونه‌هایی که در این مطلب به آن ها اشاره خواهد شد فاصله زیادی داشته باشد، اما همین الان هم فرودگاه‌ها، فروشگاه‌ها، کافی‌شاپ‌ها و بسیاری از رستوران‌های ما به سرویس اینترنت رایگان از طریق وای‌فای  مجهز شده‌اند.

Free-WiFi

بحث بر سر این نیست که آیا شما در تلفن‌تان چیزی دارید که می‌خواهید از دیگران پنهان کنید یا نه. بحث بر سر این نیست که افشای اطلاعات ابزار شما برای شما زیان و برای نفوذگر (جمع‌آوری کننده) سود مالی به همراه دارد یا خیر. مساله این است که این داده‌ها به نحوی به شما مربوط هستند و حتی اگر در نهایت تصمیم بگیرید که آن‌‌ها را با طیب خاطر در اختیار بقیه بگذارید، باید بدانید که چه می‌کنید.


تلاش‌های بسیاری برای امن کردن سرویس‌های وبی و برنامه‌های مبتنی بر اینترنت مشهور انجام شده است. این تلاش‌ها به ویژه پی‌سی‌ها را هدف گرفته‌اند. اما یکی از درس‌هایی که ما از بررسی و تحلیل اتفاقاتی مشابه رسوایی‌های NSA می‌گیریم این است که به ازای هر نشت داده (data leak) که بواسطه ضعف یکی از وب‌سایت‌های مشهور اتفاق می‌افتد، یک نفوذ و نشت داده مشابه هم در دنیای موبایل رقم می‌خورد. تجهیزات همراه ما را در معرض بزرگ‌ترین ریسک‌های حمله و تحت نظر بودن قرار می‌دهند.

البته این NSA نیست که ما را تحت نظر قرار می‌دهد، بلکه شرکت‌های کوچک و بزرگ و همین‌طور مجرمین هستند که افراد را در مقیاس کوچک‌تری ردگیری کرده و هدف قرار می‌دهند.

وای‌فای‌های رایگان و عمومی (حتی به تدریج در ایران ما هم) به جزیی اصلی از سازوکار اپ‌های موبایل‌های ما تبدیل شده‌اند. اپل و گوگل هر دو سرویس‌های موبایلی‌شان را به گونه‌ای تنظیم کرده‌اند که از اطلاعات شبکه‌های بی‌سیم برای بالابردن سرعت و دقت موقعیت‌یابی استفاده کنند. شرکت‌های مخابراتی شبکه‌های رایگان، باز و رمزنگاری نشده‌ای را در اختیار مردم می‌گذارند تا بار دکل‌های مخابراتی را سبک‌تر کنند و افراد بتوانند به اینترنتی سریع‌تر دسترسی پیدا کنند و فروشگاه‌ها، فست‌فودها و کافه‌ها غالبا از این شبکه‌ها برای تامین رضایت بیشتر مشتریان بهره می‌برند.

attwifi

این کار راحتی بیشتری را برای کاربران فراهم می‌آورد ولی در عین حال نقطه مناسبی هم برای حمله خرابکاران یا هر کس دیگری فراهم می‌کند که بخواهد در ارتباطات باندپهن مردم فضولی کند. یک نمونه ساده این که اگر یک وای‌فای باز و بدون گذرواژه با نام attwifi داشته باشید (نامی که AT&T برای شبکه‌هایش استفاده می‌کند) آی‌فون‌ها و ابزارهای اندرویدی با تنظیمات پیش‌فرض به صورت اتوماتیک به آن متصل می‌شوند.

مواظب اکسس پوینت‌های شیطانی باشید

زمانی که حمله‌کننده‌ها به یک دستگاه دسترسی پیدا کرده و آن را به عنوان یک نقطه دسترسی که توسط شرکتی معتبر فراهم شده جا می‌زنند، اشتراک اینترنت خود را به راه می‌اندازند تا افراد به سادگی بتوانند تمام کارهایی را که در حالت عادی انجام می‌دهند، به انجام برسانند. اما در کنار آن حمله‌کننده‌ها می‌توانند به سادگی کل ارتباطات افرادی که به آن شبکه متصل شده‌اند را شنود کنند. نکته این‌جاست که این اکسس‌پوینت لازم نیست سخت‌افزاری خاص و طراحی شده باشد یا حتی توسط یک لپ‌تاپ معمولی با یک کارت شبکه اضافه کنترل شود. هرکسی با دانشی متوسط می‌تواند یک گوشی موبایل را روت کرده و آن را به پلتفرم حمله سیار تبدیل کند.

Man-In-The-Middle

حتی لازم نیست حمله کننده شبکه‌اش را با نام attwifi یا چیزهای عمومی معرفی کند. اخیرا نفوذپذیری جدیدی توسط EvilAP نصب شده روی PwnPlug نشان داده شده است.

این بدافزار منتظر درخواست‌های جست‌وجوی (probe request) شبکه که از دستگاه‌های همراه صادر می‌شود می‌ماند. این درخواست‌های جست‌وجو، دربردارنده SSID شبکه‌هایی که دستگاه اخیرا به آن‌ها وصل شده نیز هستند. به این ترتیب اکسس پوینت می‌تواند با گرفتن این نام‌ها خودش را به عنوان یکی از آن‌ها جا بزند! اگر دستگاه مورد نظر برای اتصال خودکار به آن شبکه تنظیم شده باشد، کار نفوذ با موفقیت به پایان رسیده است.

این کار می‌تواند افراد را در معرض حمله‌های man-in-the-middle قرار دهد و حتی رمزنگاری‌های سرویس‌های وبی را دور بزند.

فقط گوش می‌دهند

حتی بدون فریب دادن دستگاه شما برای اتصال مستقیم، یک حمله‌کننده (یا یک کارمند یا یک فروشنده) می‌تواند به اطلاعاتی که شما از طریق وای‌فای جابه‌جا می‌کنید دسترسی داشته باشد. حتی ممکن است اتصال را به رایگان در اختیار شما قرار دهند تا به صورت قانونی به داده‌های شما دسترسی داشته باشند.

مثلا Target اتصال رایگان را با توافق‌نامه خدماتی در اختیار کاربران می‌گذارد که حق جمع‌آوری داده‌های مشخصی را از دستگاه‌های کاربران برای شرکت محفوظ می‌داند. برخی از مواردی که در این موافقت‌نامه ذکر شده‌اند این‌ها هستند:

  • داده‌های آماری: مثلا چه تعداد از کاربران در هر فروشگاه از این سرویس استفاده کرده‌اند.
  • داده‌های نشست تماس: مثلا طول زمان اتصال
  • نوع دستگاه‌ها: مثلا آی‌فون یا بلک‌بری
  • داده‌های مرورگر: نسخه مرورگر و آدرس آی‌پی
  • داده‌های فروشگاه: محل فروشگاهی که دستگاه در آن وصل شده است.
  • استفاده از خدمات خود Target: مثلا کوپن‌های تخفیفی که استفاده شده‌اند.
  • شماره اختصاصی دستگاه
  • وب‌سایت‌ها و صفحاتی که بازدید شده‌اند

بسته به نحوه پیکربندی شبکه، تقریبا هر کسی که به آن شبکه متصل است می‌تواند چنین داده‌هایی را از ارتباطات شما برداشت کند. مثلا کوکی‌هایی که اگر بدون رمزنگاری تبادل شوند بعدا می‌توانند برای سرقت نشست‌های مرورگر شما مورد استفاده قرار بگیرند. فروشگاه‌ها حتی راه‌هایی دارند که بدون استفاده ار وای‌فای دستگاه شما را ردگیری کنند!

با یافتن آدرس MAC دستگاه شما، سیگنال‌های Heartbeat شبکه‌های سلولی، سیگنال بلوتوث یا موارد مشابه فروشگاه‌ها می‌توانند جابه‌جایی‌های شما در فروشگاه را زیر نظر گرفته و حتی با سه آنتن موقعیت دقیق شما را تعیین کنند. یک فروشگاه بزرگ در ریچموند این قابلیت را در ۲۰۱۱ مورد آزمایش قرار داد، اما بعد مجبور شد آن را موقتا غیرفعال کند. این سرویس زمانی دوباره فعال خواهد شد که فروشگاه بتواند روشی برای فرار از این ردگیری را برای مشتریان فراهم کند.

Data-Collection

ترکیبی از این قابلیت به همراه دوربین‌های ویدیویی و تراکنش‌هایی که با کارت‌های بانکی انجام می‌شوند (حتی به رغم این‌که داده‌ها ظاهرا بدون نام هستند) می‌توانند به «شناسایی مشتریان» بیانجامد. مثلا صندوق‌داران مشتریان دایم را تشخیص دهند یا حتی آمار چیزهایی که آن‌ها قبلا خریده‌اند را کنترل کنند. فقط تصور کنید که چنین داده‌هایی اگر در اختیار شرکت‌های امنیتی، خرابکاران یا حتی مقامات قانونی بیافتد چه استفاده‌های دیگری می‌تواند داشته باشد.

کابل بی‌سیم را بکشید!

راه‌های متنوعی برای کاهش ردپای موبایل‌تان وجود دارد. ابتدایی‌ترین شیوه این است که قابلیت «اتصال خودکار» به شبکه‌های بی‌سیم را غیرفعال کنید. حتی می‌توانید فراتر رفته و اصلا در مکان‌های ناشناس وای‌فای ابزارتان را خاموش کنید.

استفاده از VPNها می‌تواند دستگاه شما را از شر پایش‌های غیرفعال (Passive) دور نگه دارد. البته برخی از شرکت‌ها به عنوان جزیی از قرارداد استفاده‌شان، VPNها را مسدود می‌کنند.

AirplaneMode

البته یک راه ساده و قطعی برای فرار از تمام این معضلات وجود دارد! وقتی در جای ناشناسی هستید، تلفن‌هوشمند یا تبلت‌تان را خاموش کنید یا حداقل آن را روی حالت Airplane‌ قرار دهید. به این ترتیب حداقل به بازی‌های مورد علاقه‌تان دسترسی دارید!


منبع(+)

نظرات

  1. این مطالب به ایران نمیخوره اینجا وای فای رایگان را باید توی خواب ببینی

  2. رفته رفته دنیامون داره در ظاهر راحت می شه و در باطن ناامن …
    ممنون از این پست مفید و جالبتون

  3. منم مطمئن هستم که دزدین اطلاعات شخصی این روزا خیلی زیاد شده، به خاطر همین حد الامکان روی گوشیم هیچ چیز مهمی نمیزارم بمونه و مثلا اگه عکس خانوادگی گرفتم بعد که به کامپیوترم دسترسی داشتم انتقالش میدم به کامپیوترم و به صورت فایل فشرده ی رمزگذاری شده نگه میدارم،
    برای اینکه بدونید هنگام وصل شدن به اینترنت در کامپیوتر چه نرم افزار هایی از اینترنت دارن استفاده می کنند و بتونید جلوی ترافیک های مشکوک رو بگیرید پیشنهاد میکنم حتما برنامه ی BWMeter رو که به شخصه برنامه ی خیلی خوبی در این زمینه میدونم رو دانلود و نصب کنید.
    و برای گوشیهای اندرویید برنامه ی دیگه ای هست به اسم ۳G watchdog pro که این کار رو میکنه و میزان مصرف برنامه هایی که از اینترت استفاده می کنند رو نشون میده.

دیدگاه خود را با ما اشتراک بگذارید:

ایمیل شما نزد ما محفوظ است و از آن تنها برای پاسخگویی احتمالی استفاده می‌شود و در سایت درج نخواهد شد.
نوشتن نام و ایمیل ضروری است. اما لازم نیست که کادر نشانی وب‌سایت پر شود.
لطفا تنها در مورد همین نوشته اظهار نظر بفرمایید و اگر درخواست و فرمایش دیگری دارید، از طریق فرم تماس مطرح کنید.