راهکارهایی برای تشخیص نسخه جعلی و اصلی یک اپلیکیشن
فیلترینگ روزافزون در ایران نه تنها دسترسی شهروندان به اینترنت آزاد را دشوار کرده، بلکه موجب به خطر افتادن امنیت دیجیتال مردم نیز شده است. مسدود شدن فروشگاههای امن دانلود اپلیکیشن نظیر گوگلپلی و اپاستور باعث شده که کاربران ابزارهای مورد نیاز را از منابع تایید نشده دریافت کنند؛ بدیهی است که امنیت ابزارهایی که در کانالهای ناشناخته تلگرامی یا وبسایتهای گمنام گذاشته میشوند مشخص نیست و ممکن است این اپلیکیشنها، ابزارهای مخربی باشند برای جاسوسی از کاربران.
فیلترینگ روزافزون در ایران نه تنها دسترسی شهروندان به اینترنت آزاد را دشوار کرده، بلکه موجب به خطر افتادن امنیت دیجیتال مردم نیز شده است. مسدود شدن فروشگاههای امن دانلود اپلیکیشن نظیر گوگلپلی و اپاستور باعث شده که کاربران ابزارهای مورد نیاز را از منابع تایید نشده دریافت کنند؛ بدیهی است که امنیت ابزارهایی که در کانالهای ناشناخته تلگرامی یا وبسایتهای گمنام گذاشته میشوند مشخص نیست و ممکن است این اپلیکیشنها، ابزارهای مخربی باشند برای جاسوسی از کاربران.
انتشار نسخههای جعلی فیلترشکنهای شناخته شده یکی از روشهای نفوذگران و دستگاههای نظارت حکومتی است. در جدیدترین مورد، یک نسخه آلوده فیلترشکن آرگو در کانالهای تلگرامی منتشر شده است که هدف این بدافزار که برای فریب کاربران ناآگاه تحت عنوان «آرگو ویپیان» پخش شده، دانلود و ارسال اطلاعات حساس کاربران به هکرها بوده است.
پسکوچه همیشه بر این موضوع تاکید داشته که اپلیکیشنهای مورد نیاز خود را از منابع معتبر و تایید شده همچون گوگلپلی، اپاستور، پسکوچه و وبسایت و کانالهای رسمی سرویسها دریافت کنید.
در این نوشته روشهای بررسی و مقایسه نسخه جعلی و اصلی اپلیکیشن به منظور شناسایی نسخه مخرب را بررسی میکنیم. قبل از شروع قصد داریم سازوکار دانلود و بهروزرسانی اپلیکیشنها در پسکوچه را تشریح کنیم.
اپلیکیشنهای پسکوچه از کجا و چگونه میآیند؟
سیستم عامل اندروید پشتیبانی چند وجهی برای نسخههای APK برنامهها ارایه میدهد. این ویژگی چند وجهه که در واقع قابلیت توزیع فایلهای مختلف APK جهت ارائه به توسعه دهندگان است، به آنها اجازه میدهد تا بستههای متعددی را برای پوشش دادن دستگاههای مختلفی که از اندروید استفاده میکنند ارائه دهند.
این ویژگی سازگاری فایل دریافت شده را برای عوامل مختلفی مانند اندازه صفحه، تراکم پیکسلهای صفحه یا رابط های ABIs تضمین میکند. این موضوع به توسعهدهندگان اجازه میدهد تا فایلهای پیکربندی را در کنار ارائه برنامه اصلی تولید کنند. تقسیمبندی Apk به توسعهدهندگان برنامه اجازه میدهد apkهای خود را در تراکم دستگاه و رابطهای باینری برنامه (ABI) تقسیم کنند. این apk ها به صورت جداگانه در فروشگاه Google Play آپلود می شوند و کاربران فقط apk های مناسب و بهینه شده را برای دستگاه خود بارگیری میکنند. مزیت اصلی ارائه شده در مورد کاهش اندازه apk این است که منابعی (تصاویر، کتابخانه ها و غیره) که برای یک دستگاه نیستند به دستگاه اضافه نمی شوند. دستگاه هر کاربر متناسب با معماری فقط منابع مورد نیاز خود را دریافت می کند.
اپهای موجود در پسکوچه با استفاده از Apk split از گوگلپلی دانلود میشوند و از این طریق ما apkهای مورد نیاز برای معماریهای مختلف را دریافت میکنیم تا اپلیکیشن متناسب با هر دستگاه را ارائه کنیم. به همین دلیل اپلیکیشنهایی که از کاربران از پسکوچه دریافت میکنند به صورت یک فایل فشرده (zip) است که از طریق اپلیکیشن پسکوچه میتوان آن را اجرا کرد.
راهکارهایی برای تشخیص نسخه جعلی و اصلی یک اپلیکیشن
مقایسه حجم نسخه اصلی و نسخه مشکوک یک اپلیکیشن میتواند گام مناسبی برای تشخیص سلامت برنامه باشد. بنابراین در اولین اقدام حجم نسخه اصلی فایل را با نسخه دریافتی از منابع دیگری تطابق دهید. تفاوت حجم نسخه اصلی با نسخه دیگر میتواند نشانه دستکاری شدن اپلیکیشن باشد.
در گام بعدی دسترسیهای دو نسخه اپ را با یکدیگر مقایسه کنید. توجه داشته باشید که برای بررسی دسترسیهای نسخه مشکوک اپلیکیشن، آن را نصب نکنید. با آپلود کردن فایل در وبسایت ویروس توتال میتوانید مجوزها را مشاهده کنید. پس از آن دسترسیها را با دسترسیهای نسخه اصلی ذکر شده در گوگلپلی یا اپاستور مقایسه کنید.
علاوه بر موارد ذکر شده بررسی گواهیها و قوانین سیستم تشخیص نفوذ میتواند به تشخیص دستکاری شدن اپلیکیشن کمک کند. برای بررسی گواهیها، اپ دریافت شده از منابع مشکوک را در ویروس توتال آپلود کنید، سپس به قسمت DETAIL بروید و از آنجا به بخش Android Info بروید. در زیر این قسمت اطلاعات گواهیها با نامهای Certificate Attributes و Certificate Subject و Certificate Issuer ذکر شده است. در مورد نسخه جعلی ARGO VPN برخی بخشهای گواهی با نسخه اصلی همخوانی ندارد و برخی دیگر نمایش داده نمیشود.
نسخه اصلی:
نسخه جعلی:
همچنین میتوانید در ویروس توتال از طریق بخش BEHAVIOR به قسمت Crowdsourced IDS rules بروید. اگر ترافیک شبکه تولید شده توسط یک نمونه مطابق با قوانین سیستم تشخیص نفوذ ویروس توتال باشد، گزارش آن و شرح و جزئیات قانون را خواهید دید. در مورد ARGOVPN، در نسخه اصلی اپ جزئیات و قوانین شناسایی و ذکر شده است. اما در نسخه جعلی آرگو این اطلاعات ذکر شده متفاوت است.
نسخه اصلی:
نسخه جعلی:
توجه داشته باشید که دریافت اپلیکیشنها از منابع معتبر تا حد زیادی نگرانیهای امنیتی شما را رفع میکند. اما اگر بنا به هر دلیلی ناچار به دریافت اپلیکیشن از منابع ناشناختهاید، لازم است به نسخه اصلی اپلیکیشن رجوع کنید و موارد ذکر شده را بین دو نسخه اصلی و نسخه دریافت از شده از منابع متفرقه مطابق دهید.