سيستمعامل آندروئيد ضعفهاي امنيتي زيادي دارد، بهطوري كه عملاً امكان كوچ نرمافزارهاي موبايل سازماني روي آن وجود ندارد. محققاني از دانشگاههاي امريكا و آلمان، روي اين سيستمعامل كارهاي پژوهشي كردند و موفق شدند با تغييراتي در آن به توسعهدهندگان اجازه تغيير و تعمير براي بهبود امنيت آندروئيد را بدهند.
كدهايي كه بايد به آندروئيد افزوده شوند، چارچوب ASM (سرنام Android Security Modules) ناميده میشوند. این کدها از سوي محققان امنيتي دانشگاه آمريكايي کارولینای شمالی و دانشگاه آلماني CASED در يك مقاله معرفي و بررسي شدهاند. اين مقاله 22 آگوست در سمپوزيوم امنيتي USENIX در سانديهگو ارائه شد.
سيستمعامل آندروئيد براي تمامي دستگاههاي همراه طراحي شده است و توسعه داده ميشود و براي ردههاي گوناگون مانند مصرفكننده، سازمانهاي گسترده دولتي يا شركتهاي تجاري ويژگيهاي خاصی ندارد.
چارچوب ASM امكان افزودن آسانتر قابليتها و ويژگيهاي امنيتي جديد را براي استفاده در سازمانهاي گسترده دولتي و شركتهاي تجاري فراهم ميكند تا بتوانند امنيت سيستمعامل و در نهايت امنيت نرمافزار و اطلاعاتشان را تأمين كنند. اما اين چارچوب براي مصرفكنندگان نهايي طراحي نشده است. ويليام انك (William Enck)، نويسنده ارشد اين مقاله و دستيار پروفسور دانشگاه NCSU، ميگويد: «چارچوب امنيتي ماجولار آندروئيد، آماده ساخت بلوكهايي براي افزودن به توابع جديد امنيتي سيستمعامل فعلي است.» وي ادامه ميدهد که ASM، به عنوان يك چارچوب كلي توسعه، بدون نياز به تغییر دادن فريموير دستگاه همراه، امکان افزودن بهبوددهندههایی را به آندروئید می دهد.
انک میگوید: «اگر شركت گوگل اين چارچوب را تصويب و تأیید كند، پيشبيني ميكنيم ASM بتواند امنيت دستگاههاي آندروئيد را افزايش دهد، بدون اينكه به دسترسيهاي ريشه يا محدوديتهاي مجوز و گواهينامه نياز داشته باشيم.» وقتي ASM با سيستمعامل آندروئيد و هسته، مجتمع و يكپارچه ميشود، امکان احرازهويتهايي براي كنترل دسترسي به ماجولهای فهرست تماسها، اطلاعات جغرافيايي، ركوردهاي تلفن و متن پيغامها را فراهم ميكند.
انك در اين زمينه ميگويد: «هرچيزي كه در آندروئيد هست و شما به آن فكر ميكنيد، با چارچوب ASM و ماجولهای امنيتي گسترشپذیر است. حتي به شما اجازه دسترسي بيشتر به اطلاعات ذخيره شده روي سيستمعامل را ميدهد، بنابراین توسعهدهندگان ميتوانند اين اطلاعات را دستكاري كنند.» براي مثال، توسعهدهندگان ميتوانند ماجولی طراحي كنند كه فهرست تماسها را فيلتر كند، بهطوري كه برنامكها فقط امكان دسترسي به شماره تماسهاي تجاري را داشته باشند. اين ماجول ميتواند به شركتها كمك كند تا مطمئن شوند که كارمندان از اسمارتفونهاي خود براي كارهاي اداري و دسترسي به شبكه شركت يا ارسال ايميلهاي مفيد استفاده ميكنند.
مارك راجرز (Marc Rogers)، محقق امنيتي مؤسسه Lookout، درباره ASM ميگويد: «يك رويكرد جالب با وعدههاي زياد. آنها در حال گسترش يك چارچوب براي بالا بردن امنيت دستگاه هستند كه با استفاده از آن بتوان با ايجاد ارتباطهاي سطح كاربردي (نه ريشهاي) به سرعت و به طور مؤثر جلوي يك تهديد را در سيستمعامل آندروئيد گرفت.» منظور راجرز اين است كه نياز نيست اين چارچوب روي هسته سيستمعامل نصب يا پيكربندي شود، بلكه ميتواند با ايجاد لينكها و دسترسيهايي در سطح بالاي سيستمعامل از تهديدها جلوگیری کرد.
نويسندگان اين مقاله، نتيجه كار خود را براي شركت گوگل و چندين شركت ديگر سازنده گوشيهاي تلفن همراه ارسال كردهاند، اما براي استفاده از اين فناوري هنوز پاسخي دريافت نكردند. راجرز ميگويد: «اگر ASM ميخواهد بدون دسترسي به ريشه و هسته آندروئيد كار كند، نيازمند همكاري و خريد از سوي گوگل يا يك توليدكننده تجهيزات اصلي سختافزاري (OEM) آندروئيد است.»
منبع : ماهنامه شبکه