پوشه امن سامسونگ آنقدرها که فکر میکنید خصوصی نیست
پوشه امن سامسونگ که برای محافظت از فایلهای حساس طراحی شده، آنطور که تصور میشود امن نیست. بررسیها نشان میدهند که برنامههای پروفایل کاری میتوانند بدون محدودیت به فایلهای آن دسترسی داشته باشند. این ضعف امنیتی میتواند اطلاعات کاربران را در معرض خطر قرار دهد.
تبلیغات
بررسیها نشان دادهاند که برنامههای اجراشده در یک پروفایل کاری میتوانند بدون هیچ محدودیتی به فایلهای ذخیرهشده در پوشه امن دسترسی داشته باشند. این مشکل فارغ از اینکه پروفایل کاری توسط یک کارفرما ایجاد شده باشد یا از طریق اپلیکیشنهایی مانند Shelter و Island راهاندازی شده باشد، همچنان وجود دارد. به نظر میرسد که پوشه امن تنها پروفایل شخصی را از دسترسی به دادههای خود محدود میکند، درحالیکه هر اپلیکیشنی که در پروفایل کاری اجرا شود، میتواند محتویات آن را مشاهده کند. این یعنی بخش فناوری اطلاعات سازمانها و شرکتها ممکن است قادر به مشاهده و دسترسی به تمام فایلهای ذخیرهشده در این پوشه باشند.
یکی از کاربران ردیت که اولین بار این نقص امنیتی را فاش کرد، توضیح داده است که پوشه امن بهجای اینکه یک فضای کاملاً ایزوله و مستقل باشد، بر اساس سیستم پروفایل کاری اندروید ساخته شده است. این یعنی در سطح سیستمعامل، این پوشه بیشتر شبیه به یک پروفایل مدیریتشده عمل میکند تا یک فضای مجزا و غیرقابلدسترس. در نتیجه، برنامههای اجراشده در پروفایل کاری میتوانند بدون هیچ محدودیتی، همانند یک پوشه معمولی در حافظه، به فایلهای پوشه امن دسترسی داشته باشند.
ریشه این مشکل به تفاوت معماری پوشه امن سامسونگ و قابلیت Private Space در اندروید ۱۵ برمیگردد. Private Space که توسط گوگل توسعه داده شده است، یک پروفایل کاملاً مستقل ایجاد میکند که به هیچ طریقی با سایر پروفایلهای دستگاه ارتباط ندارد. اما در مقابل، سامسونگ پوشه امن را بهعنوان یک پروفایل مدیریتشده طراحی کرده است، نه یک فضای کاملاً جداگانه. این تفاوت ساختاری باعث شده است که:
- فایلهای موجود در پوشه امن واقعاً قفل و رمزگذاریشده نباشند؛ بلکه صرفاً از پروفایل شخصی مخفی شدهاند.
هر برنامهای که در پروفایل کاری اجرا شود، میتواند فایلهای داخل پوشه امن را مرور کند.
کارفرمایان و مدیران فناوری اطلاعات در سازمانها میتوانند از راه دور به فایلهای پوشه امن دسترسی پیدا کنند.
عکسها و ویدیوها بیشترین خطر را دارند
تستهای انجامشده توسط محققان امنیتی نشان دادهاند که فایلهای چندرسانهای، بهویژه عکسها و ویدیوها، بیشتر از سایر دادهها در معرض خطر هستند. اگرچه سیستم مدیریت فایل اندروید اجازه دسترسی مستقیم برنامههای شخصی به پوشه امن را مسدود میکند، اما در پروفایل کاری، فایلهای چندرسانهای بدون هیچ مانعی قابل مشاهده هستند. این یعنی هر شخصی که به پروفایل کاری شما دسترسی داشته باشد، بهراحتی میتواند تمام عکسها و ویدیوهای حساس شما را مرور کند.
علاوه بر این، یک ضعف امنیتی دیگر نیز در نحوه مدیریت برنامههای ذخیرهشده در پوشه امن مشاهده شده است. برنامههایی که در این فضا نصب شدهاند، همچنان در مدیریت مجوزهای اندروید نمایش داده میشوند، به این معنا که هر کاربری که به این بخش دسترسی داشته باشد، میتواند بهراحتی متوجه شود چه اپلیکیشنهایی در داخل پوشه امن نصب شدهاند. این مشکل میتواند بهطور بالقوه اطلاعات کاربران را در معرض خطر قرار دهد.
سامسونگ این نقص امنیتی را تأیید کرده است اما تاکنون اطلاعاتی درباره راهکار یا بهروزرسانی احتمالی برای رفع این مشکل ارائه نداده است. با توجه به اینکه این مشکل به معماری کلی پوشه امن مربوط میشود، رفع آن احتمالاً نیازمند بازنگری اساسی در نحوه طراحی این قابلیت خواهد بود، که ممکن است با یک بهروزرسانی ساده قابل انجام نباشد.
با توجه به این موضوع، اگر فایلهای حساسی در پوشه امن ذخیره کردهاید، بهتر است فعلاً آنها را به یک مکان امنتر منتقل کنید. تا زمانی که سامسونگ تغییرات لازم را اعمال کند، نباید به این قابلیت بهعنوان یک فضای واقعاً خصوصی و غیرقابل نفوذ اعتماد کرد.
برچسبها:
