امنیت اندروید

    اندروید یک پلتفرم مدرن برای موبایل است و به عنوان یک سیستم عامل بازمتن(sourceopen) پا به عرصه گذاشت. نرم افزارهای کاربردهای اندروید از مزایای نرم افزار و سخت افزارهای پیشرفته استفاده می کند و نوآوری و ارزش را برای مصرف کنندگان آن فراهم می کند. برای حفاظت از این ارزش ها این پلتفرم باید یک محیط کاربردی را برای امنیت کاربر، داده، کاربردها، وسایل و شبکه ارائه دهد. امن ساختن یک پلتفرم باز به یک معماری امنیتی قوی و برنامه های امنیتی سخت گیر نیاز دارد. اندروید با یک امنیت چند سطحی طراحی شده است که انعطاف پذیری مورد نیاز برای یک پلتفرم باز را فراهم می کند. و در این حالت حفاظت از تمام کابران پلتفرم را فراهم می کند. اندروید بر اساس تفکرات توسعه دهندگان آن طراحی شد. کنترلهای امنیتی برای کاهش هزینه های سربار توسعه دهندگان طراحی شد. توسعه دهندگان می توانند به راحتی کار کنند و به کنترهای امنیتی انعطاف پذیر اعتماد داشته باشند. آنها کمتر با امنیتی که بوسیله ی پیشفرض های امن تامین می شوند آشنا هستند. اندروید بر اساس تفکرات کاربران آن طراحی شد. طریقه کار برنامه های کاربردی برای کاربران قابل رویت است و کاربران می توانند آن ها را کنترل کنند. این طراحی دارای استثناء هایی است که حمله کننده تلاش دارد برای حمله از آنها استفاده کند، مثل حمله مهندسی اجتماعی برای متقاعد کردن کاربران در نصب بدافزار(malware) و حمله به برنامه های کاربردی ثالث روی اندروید.     قسمت های تشکیل دهنده پلت فرم اندروید به شرح زیر هستند: - سخت افزار: اندروید روی یک گستره ی وسیعی از سخت افزارها اجرا می شود، مانند گوشی های هوشمند، تبلت ها و ستاپ باکس ها(set-up-boxes). اندروید processor-agnostic است اما از مزایای بعضی از سخت افزارها – به خصوص قابلیتهای امنیتی مثل ARM v6 eXecute- استفاده نمی کند. - سیستم عامل: سیستم عامل اصلی روی هسته لینوکس ساخته شده است. همه منابع وسایل، مانند توابع دوربین، داده های GPS، توابع بلوتوث، توابع مکالمه، ارتباطات شبکه و غیره به وسیله سیستم عامل استفاده می شوند. - کاربردهای زمان اجرا: کاربردهای اندروید اغلب با زبان برنامه نویسی جاوا نوشته می شوند و روی ماشین مجازی Dalvik اجرا می شوند. با این وجود خیلی از کاربردها از قبیل سرویس ها و کاربردهای اصلی اندروید، بومی هستند و یا شامل کتابخانه های بومی هستند. هر دوی Dalvik و کاربردهای بومی در داخل یک محیط امنیتی یکسان – درون Sandbox - اجرا می شوند. کاربردها یک قسمت اختصاصی از سیستم فایل را گرفته و می توانند داده های خصوصی خود شامل فایل های پایگاه داده را در آن بنویسند. کاربردهای اندروید، سیستم عامل اصلی اندروید را توسعه می دهند. این کاربردها دو دسته هستند: 1 . کاربردهای از پیش نصب شده: اندروید شامل یک مجموعه از کاربردهای از پیش نصب شده است، از قبیل تلفن، ایمیل، تقویم، کاوشگر وب، و دفترچه تلفن. این توابع هم مورد استفاده کاربران قرار می گیرند و هم قابلیت های ویژه ای را برای کاربردهای دیگر فراهم می کنند. این کاربردها ممکن است قسمتی از پلتفرم بازمتن باشند یا ممکن است به وسیله یک OEM برای یک برای یک دستگاه خاص توسعه داده شده باشد. 2 . کاربردهای نصب شده توسط کاربرد: این دسته را بیشتر تحت عنوان برنامه کاربردی می شناسند. اندروید یک محیط توسعه باز را برای پشتیبانی از یک کاربرد سومی(کاربرد ثالث) فراهم می کند. فروشگاه اندروید صدها هزار برنامه کاربردی را برای استفاده کنندگان ارائه داده است. گوگل مجموعه ای از سرویس های ابری(Cloud service) را فراهم می کند که برای هر دستگاه اندروید سازگار در دسترس است. سرویس های ابری اصلی به این شرح هستند: 1) فروشگاه اندروید(Android Market): این فروشگاه یک مجموعه از سرویس ها است که به کاربران اجازه می دهد از طریق وب یا دستگاه اندروید خود برنامه های کاربردی مورد نظر خود را پیدا کرده، خریده و نصب کنند . 2) بروز رسانی اندروید(Android Update): سرویس بروزرسانی اندروید قابلیت های جدید و بروزرسانی های امنیتی جدید را به صورت خودکار یا از طریق وب فراهم می کند. 3) سرویس های کاربرد (Application Service): چارچوبی که به کاربردهای اندروید اجازه می دهد که از قابلیتهای ابری(cloud capabilities) استفاده کند. از جمله این قابلیت ها می توان به پشتیبان گیری از داده های برنامه ها و تنظیمات، و پیام رسانی از ابر به دستگاه (C2DM) اشاره کرد.
قسمت های تشکیل دهنده پلت فرم اندروید به شرح زیر هستند: - سخت افزار: اندروید روی یک گستره ی وسیعی از سخت افزارها اجرا می شود، مانند گوشی های هوشمند، تبلت ها و ستاپ باکس ها(set-up-boxes). اندروید processor-agnostic است اما از مزایای بعضی از سخت افزارها – به خصوص قابلیتهای امنیتی مثل ARM v6 eXecute- استفاده نمی کند. - سیستم عامل: سیستم عامل اصلی روی هسته لینوکس ساخته شده است. همه منابع وسایل، مانند توابع دوربین، داده های GPS، توابع بلوتوث، توابع مکالمه، ارتباطات شبکه و غیره به وسیله سیستم عامل استفاده می شوند. - کاربردهای زمان اجرا: کاربردهای اندروید اغلب با زبان برنامه نویسی جاوا نوشته می شوند و روی ماشین مجازی Dalvik اجرا می شوند. با این وجود خیلی از کاربردها از قبیل سرویس ها و کاربردهای اصلی اندروید، بومی هستند و یا شامل کتابخانه های بومی هستند. هر دوی Dalvik و کاربردهای بومی در داخل یک محیط امنیتی یکسان – درون Sandbox - اجرا می شوند. کاربردها یک قسمت اختصاصی از سیستم فایل را گرفته و می توانند داده های خصوصی خود شامل فایل های پایگاه داده را در آن بنویسند. کاربردهای اندروید، سیستم عامل اصلی اندروید را توسعه می دهند. این کاربردها دو دسته هستند: 1 . کاربردهای از پیش نصب شده: اندروید شامل یک مجموعه از کاربردهای از پیش نصب شده است، از قبیل تلفن، ایمیل، تقویم، کاوشگر وب، و دفترچه تلفن. این توابع هم مورد استفاده کاربران قرار می گیرند و هم قابلیت های ویژه ای را برای کاربردهای دیگر فراهم می کنند. این کاربردها ممکن است قسمتی از پلتفرم بازمتن باشند یا ممکن است به وسیله یک OEM برای یک برای یک دستگاه خاص توسعه داده شده باشد. 2 . کاربردهای نصب شده توسط کاربرد: این دسته را بیشتر تحت عنوان برنامه کاربردی می شناسند. اندروید یک محیط توسعه باز را برای پشتیبانی از یک کاربرد سومی(کاربرد ثالث) فراهم می کند. فروشگاه اندروید صدها هزار برنامه کاربردی را برای استفاده کنندگان ارائه داده است. گوگل مجموعه ای از سرویس های ابری(Cloud service) را فراهم می کند که برای هر دستگاه اندروید سازگار در دسترس است. سرویس های ابری اصلی به این شرح هستند: 1) فروشگاه اندروید(Android Market): این فروشگاه یک مجموعه از سرویس ها است که به کاربران اجازه می دهد از طریق وب یا دستگاه اندروید خود برنامه های کاربردی مورد نظر خود را پیدا کرده، خریده و نصب کنند . 2) بروز رسانی اندروید(Android Update): سرویس بروزرسانی اندروید قابلیت های جدید و بروزرسانی های امنیتی جدید را به صورت خودکار یا از طریق وب فراهم می کند. 3) سرویس های کاربرد (Application Service): چارچوبی که به کاربردهای اندروید اجازه می دهد که از قابلیتهای ابری(cloud capabilities) استفاده کند. از جمله این قابلیت ها می توان به پشتیبان گیری از داده های برنامه ها و تنظیمات، و پیام رسانی از ابر به دستگاه (C2DM) اشاره کرد.

نرم افزار امنیتی برای جلوگیری از سرقت اطلاعات در اندروید

داشتن یک ضد بدافزار بر روی گوشی های هوشمند اندروید، یکی از موثر ترین راه ها برای جلوگیری از آسیب دیدن گوشی هوشمند و سرقت اطلاعات است.

 نرم افزارهای امنیتی این روزها به یکی از پر مخاطب ترین و مورد استقبال ترین نرم افزارهای اندرویدی تبدیل شده اند و حجم این نرم افزارها در بازار به شدت افزایش یافته است. خوشبختانه اغلب این نرم افزارها از برند های شناخته شد ای هستند که نسخه های دیگر آنها برای سیستم عاملهایی نظیر ویندوز نیز موجود است.

اما واقعیت این است که این ضد بدافزارها به همان خوبی که میتوانند شما را در برابر بد افزارها محافظت کنند، اما در بسیاری از موارد قابلیت محافظت کاربران در برابر نرم افزارهای به ظاهر قانونی که در پشت صحنه مشغول به سرقت اطلاعات یا تخریب آنها هستند را ندارند.

در اینگونه مواقع کاربر باید چه اقدامی انجام دهد؟ 

یکی از بهترین نرم افزارهای امنیتی که مختص به این موضوع است، نرم افزار viaProtect است.

اگر با این نرم افزار آشنایی ندارید، به شکل مختصر باید گفت که این یک نرم افزار امنیتی است که هدف از طراحی آن این است که به شما این قابلیت را میدهد که به شکل مدام خطرات بالقوه ای را که امنیت و حریم شخصی شما را به خطر می اندازند، رصد کنید. فی الواقع این نرم افزار اطلاعات مختلف را از عملکرد گوشی شما – سیستم، شبکه، حسگرها و سایر نرم افزارها – جمع آوری میکند و بر اساس آنها به شما اطلاع میدهد که آیا در خطر هستید یا خیر. این موضوع به ویژه در خصوص نرم افزارهایی که به ظاهر قانونی هستند، میتواند بسیار مفید واقع شود.

نقض کپی رایت توسط گوگل

گوگل به نقض قانون کپی رایت محکوم شد

شرکتی در پروندهٔ شکایت از گوگل پیروز شد و قاضی دادگاه گوگل را به نقض قانون کپی رایت محکوم کرد.

البته میزان استفادهٔ موتور جستجوی گوگل از برنامهٔ این شرکت  تا حد قانون استفادهٔ مجاز (Fair Use) بوده است یا تخلفی در این زمینه صورت پذیرفته است. گوگل ‌‌نهایت سعی خود را به کار گرفته است که از پرداخت جریمهٔ سنگین در پایان این دادگاه فرار کند.

بر خلاف آنچه همگان تصور می‌کنند، این پرونده مربوط به استفادهٔ غیر مجاز از برنامهٔ جاوا توسط گوگل نیست بلکه به موضوع ادغام آندروید با ۳۷API (رابط برنامه نویسی کاربردی متعلق به شرکت سان) بر می‌گردد که امکان کدنویسی‌های سازگار با برنامهٔ جاوا را برای تحلیل‌گران فراهم می‌آورد.

شرکت مذکور در سال ۲۰۰۹ شرکت سان را خرید و حق استفاده از فنآوری‌های ثبت شدهٔ این شرکت در انحصار خود درآورد  و به اتهام استفاده از فنآوری‌های این شرکت از گوگل شکایت کرده است.
این پرونده شامل ۴ شکایت است. گوگل در یکی از شکایت‌ها (کپی غیر قانونی کد‌ها) مجرم و در دو مورد بی‌گناه شناخته شده است اما برای مهم‌ترین بخش این پرونده هنوز پاسخی از طرف دادگاه اعلام نشده است. هیآت منصفه هنوز نتوانسته است ثابت کند که استفاده از API شرکت سان توسط گوگل در آندروید بدون خرید لیسانس آن، دزدی از این شرکت محسوب می‌شود یا جز مواردی است که قانون برای آن استثنا قائل شده است.

گوگل نیز با توجه به عدم رآی قطعی دادگاه برای کل شکایت و ناتوانی در تصمیم‌گیری هیأت منصفه، تقاضای تشکیل یک دادگاه جدید را داده است که در صورت موافقت قاضی و معرفی هیأت منصفهٔ جدید، پرونده مجدداً از ابتدا بازنگری خواهد شد.

این هم مثالی از هزاران مثال برای استفاده نکردن از قانون کپی رایت واقعا هرچه که بیشتر مینگری ادعاهای واهی بیشتر بروز پیدا میکنن

حریم شخصی در فیس بوک و تویتر

31 شرکت فعال در زمینه فناوری‌های رایانه‌ای، از جمله "فیس‌بوک" و "توئیتر"، نسبت به نحوه جمع‌آوری و نگهداری اطلاعات شخصی کاربرانی که از تلفن‌ همراه استفاده می‌کنند، از سوی کمیته تحقیق کنگره آمریکا مورد سوال قرار گرفتند.

مسئولین این کمیته تحقیق می‌گویند بعد از شایعاتی که از ذخیره غیر قانونی اطلاعات کاربران گوشی‌های شرکت "اپل" خبر می‌دادند، آنها در تلاش هستند مطلع شوند که چه اطلاعاتی و به چه دلیل از کاربر در این سایت‌ها ذخیره می‌شود و سایت برای ذخیره این اطلاعات چطور از کاربر اجازه می‌گیرد.

سیستم عامل "ios" در گوشی‌های شرکت اپل استفاده می‌شود و نحوه عملکرد آن موجب بروز نگرانی‌هایی شده است. به همین دلیل، این شرکت هم مورد بازخواست در مورد جزئیات عملکرد این سیستم عامل، قرار گرفته است.

ماه گذشته مشخص شد که توئیتر بدون اطلاع کاربرانش، تمام اطلاعات شخصی آن‌ها شامل آدرس‌های موجود در گوشی تلفن‌ همراه را کپی و ذخیره کرده است.

در پی این اتفاق و تحت بازرسی قرار گرفتن این شرکت، مسئولین توئیتر وعده دادند تا با بروز رسانی قوانین حفظ حریم خصوصی کاربر، از تکرار چنین اتفاقی جلوگیری کند.
 یک هفته پیش از این مشخص شد که یک شبکه اجتماعی جدید در آمریکا به نام "پث"، بدون کسب اجازه از کاربر تمام آدرس‌های موجود در تلفن همراه کاربرانش را کپی و در سرورهایش ذخیره کرده است.

 "دیو مورین" مدیر اجرایی این سایت، بعد از این افشاگری مجبور به عذرخواهی شد و این شبکه هم تنظیمات امنیتی سایت خود را به نحوی تغییر داد که از این پس اطلاعات تنها با اطلاع کاربر قابل ذخیره‌سازی در سرورهای سایت باشد.

سخنگوی شرکت اپل مدعی شده است که ذخیره‌سازی و انتقال اطلاعات کاربر بدون کسب اجازه از او، خارج از خط‌ مشی کاری این شرکت است.

این اتفاق و اتفاقاتی از این دست نشان دهنده آن است که نه تنها حریم شخصی افراد در این شبکه ها امنیت ندارد بلکه گویی کشورهای غربی خود آگاهانه از این شکاف‎ها سو استفاده میکنند.حال جای تامل دارد که آیا این پروسه‎ای نبوده است از اول برای اینکه شهروندانشان را بیشتر و از همه نظر کنترل کنند؟

منبع: فارس

اقدامات آژانس امنیت ملی نقض حریم خصوصی است

یک قاضی فدرال در آمریکا جمع‌آوری مکالمات تلفنی شهروندان را به صورت محرمانه توسط دولت آمریکا خلاف قانون اساسی دانست.

طبق گزارش سی‌ان‌ان  آژانس امنیت ملی (NSA) با جمع‌آوری داده‌های اینترنتی و مکالمات تلفنی در یک پرونده خاص حریم خصوصی افراد را نقض کرده که خلاف قانون اساسی است.

نمی‌توان اقدامی خودخواهانه‌تر و تعرضی مستبدانه‌تر از اقدامات NSA یافت که در آن اطلاعات و مکالمات تلفنی میلیون‌ها شهروند بدون تبعیض و به طور نظام‌مند کنترل و ذخیره شده است و این اقدامات بدون هرگونه تایید قضایی انجام شده است.

بر اساس این گزارش، پنج تن علیه این اقدامات شکایت کرده بودند پس از بررسی اظهارات و شکایات آنها، شاکیان این پرونده خسارات جبران‌ناپذیری را متحمل شده‌اند، در حالی که دولت ادعا می‌کند برای حفظ امنیت مردمش دست به این اقدامات زده است.

همچنین ادعای دولت مبنی بر اینکه حوادث گذشته به آنها اجازه می‌دهد مکالمات تلفنی مشخصی را کنترل کنند رد شد. بی‌اعتمادی شهروندان به امنیت تلفن‌ منازل‌شان سبب شده تا آنها در سه دهه اخیر بیشتر از تلفن‌های عمومی استفاده کنند.

 آژانس امنیت ملی تاکنون حتی یک از این ادعاها را نتوانسته به اثبات برساند که جمع‌آوری اطلاعات و مکالمات تلفنی موجب توقف یک حمله قریب‌الوقوع شده یا به دولت کمک کرده است که یک مساله حساس و مهم را شناسایی کند.

برخی از مسیوولین سیاست‌های آژانس امنیت ملی را در جمع‌آوری اطلاعات طبق قانون اساسی دانسته و آن را مجاز شمرده‌اند.

از آن سو یک سناتور دموکرات و مخالف عملکرد آژانس امنیت ملی،این نظر را نشان دهنده نقض حریم خصوصی افراد توسط مقامات دانست و گفت که این اقدامات، امنیتی برای مردم آمریکا به همراه نداشته است.

وی از کنگره خواست تا قانونی را وضع کنند که بر اساس آن آژانس امنیت ملی تنها روی تروریست‌ها و جاسوسان متمرکز شود نه اینکه مردم بی‌گناه را هدف قرار دهد.

چندی پیش یکی از کارمندان سابق آژانس امنیت ملی به نام ادوارد اسنودن اسنادی را در روزنامه‌های آمریکا و انگلیس منتشر کرد که نشان می‌داد این سازمان ارتباطات اینترنتی و مکالمات تلفنی میلیون‌ها شهروند در آمریکا و دیگر نقاط جهان را کنترل و آنها را ذخیره می‌کند.

انتشار این خبر واکنش‌های زیادی را در جامعه بین‌الملل و در میان فعالان حقوقی برانگیخت.

آنها معتقدند که این اقدامات نقض حریم خصوصی و در نتیجه نقض حقوق بین‌الملل است. این در حالیست که آژانس امنیت ملی مدعی شد تمام این اقدامات را با اجازه و تایید دادگاه‌های کشورش انجام ‌می‌داده است.

حال به نظر شما این اقدامات و تناقض گوییها در هر کشوری به غیر از آمریکا که خود را طلایه دار حقوق شهروندی میداند رخ میداد چه پیامدی داشت؟ایا این نقض حریم شخصی شهروند نیست؟ایا با توجه به این اخبار و اخباری از این دست لازم نیست تغییری در نگرش خود نسبت به شهروندی یا حفظ حریم شخصی انجام دهیم؟؟؟