پس‌کوچه
سیستم‌عامل‌ها
برو به محتوای اصلی
Category: آموزش

راه‌کارهایی برای تشخیص نسخه جعلی و اصلی یک اپلیکیشن

فیلترینگ روزافزون در ایران نه تنها دسترسی شهروندان به اینترنت آزاد را دشوار کرده، بلکه موجب به خطر افتادن امنیت دیجیتال مردم نیز شده است. مسدود شدن فروشگاه‌های امن دانلود اپلیکیشن نظیر گوگل‌پلی و اپ‌استور باعث شده که کاربران ابزارهای مورد نیاز را از منابع تایید نشده دریافت کنند؛ بدیهی است که امنیت ابزارهایی که در کانال‌های ناشناخته تلگرامی یا وب‌سایت‌های گمنام گذاشته می‌شوند مشخص نیست و ممکن است این اپلیکیشن‌ها، ابزارهای مخربی باشند برای جاسوسی از کاربران.

فیلترینگ روزافزون در ایران نه تنها دسترسی شهروندان به اینترنت آزاد را دشوار کرده، بلکه موجب به خطر افتادن امنیت دیجیتال مردم نیز شده است. مسدود شدن فروشگاه‌های امن دانلود اپلیکیشن نظیر گوگل‌پلی و اپ‌استور باعث شده که کاربران ابزارهای مورد نیاز را از منابع تایید نشده دریافت کنند؛ بدیهی است که امنیت ابزارهایی که در کانال‌های ناشناخته تلگرامی یا وب‌سایت‌های گمنام گذاشته می‌شوند مشخص نیست و ممکن است این اپلیکیشن‌ها، ابزارهای مخربی باشند برای جاسوسی از کاربران.

انتشار نسخه‌های جعلی فیلترشکن‌های شناخته شده یکی از روش‌های نفوذگران و دستگاه‌های نظارت حکومتی است. در جدیدترین مورد، یک نسخه آلوده فیلترشکن آرگو در کانال‌های تلگرامی منتشر شده است که هدف این بدافزار که برای فریب کاربران ناآگاه تحت عنوان «آرگو وی‌پی‌ان» پخش شده، دانلود و ارسال اطلاعات حساس کاربران به هکرها بوده است.

پس‌کوچه همیشه بر این موضوع تاکید داشته که اپلیکیشن‌های مورد نیاز خود را از منابع معتبر و تایید شده همچون گوگل‌پلی، اپ‌استور، پس‌کوچه و وب‌سایت و کانال‌های رسمی سرویس‌ها دریافت کنید.

در این نوشته روش‌های بررسی و مقایسه نسخه جعلی و اصلی اپلیکیشن به منظور شناسایی نسخه مخرب را بررسی می‌کنیم. قبل از شروع قصد داریم سازوکار دانلود و به‌روزرسانی اپلیکیشن‌ها در پس‌کوچه را تشریح کنیم.

اپلیکیشن‌های پس‌کوچه از کجا و چگونه می‌آیند؟

سیستم عامل اندروید پشتیبانی چند وجهی برای نسخه‌های APK برنامه‌ها ارایه می‌دهد. این ویژگی چند وجهه که در واقع قابلیت توزیع فایل‌های مختلف APK جهت ارائه به توسعه دهندگان است، به آن‌ها اجازه می‌دهد تا بسته‌های متعددی را برای پوشش دادن دستگاه‌های مختلفی که از اندروید استفاده می‌کنند ارائه دهند.

این ویژگی سازگاری فایل دریافت شده را برای عوامل مختلفی مانند اندازه‌ صفحه، تراکم پیکسل‌های صفحه یا رابط های ABIs تضمین می‌کند. این موضوع به توسعه‌دهندگان اجازه می‌دهد تا فایل‌های پیکربندی را در کنار ارائه برنامه اصلی تولید کنند. تقسیم‌بندی Apk به توسعه‌دهندگان برنامه اجازه می‌دهد apk‌های خود را در تراکم دستگاه و رابط‌های باینری برنامه (ABI) تقسیم کنند. این apk ها به صورت جداگانه در فروشگاه Google Play آپلود می شوند و کاربران فقط apk های مناسب و بهینه شده را برای دستگاه خود بارگیری می‌کنند. مزیت اصلی ارائه شده در مورد کاهش اندازه apk این است که منابعی (تصاویر، کتابخانه ها و غیره) که برای یک دستگاه نیستند به دستگاه اضافه نمی شوند. دستگاه هر کاربر متناسب با معماری فقط منابع مورد نیاز خود را دریافت می کند.

اپ‌های موجود در پس‌کوچه با استفاده از Apk split از گوگل‌پلی دانلود می‌شوند و از این طریق ما apkهای مورد نیاز برای معماری‌های مختلف را دریافت می‌کنیم تا اپلیکیشن متناسب با هر دستگاه را ارائه کنیم. به همین دلیل اپلیکیشن‌هایی که از کاربران از پس‌کوچه دریافت می‌کنند به صورت یک فایل فشرده (zip) است که از طریق اپلیکیشن پس‌کوچه می‌توان آن را اجرا کرد.

راهکارهایی برای تشخیص نسخه جعلی و اصلی یک اپلیکیشن

مقایسه حجم نسخه اصلی و نسخه مشکوک یک اپلیکیشن می‌تواند گام مناسبی برای تشخیص سلامت برنامه باشد. بنابراین در اولین اقدام حجم نسخه اصلی فایل را با نسخه دریافتی از منابع دیگری تطابق دهید. تفاوت حجم نسخه اصلی با نسخه دیگر می‌تواند نشانه دستکاری شدن اپلیکیشن باشد.

در گام بعدی دسترسی‌های دو نسخه اپ را با یکدیگر مقایسه کنید. توجه داشته باشید که برای بررسی دسترسی‌های نسخه مشکوک اپلیکیشن، آن را نصب نکنید. با آپلود کردن فایل در وب‌سایت ویروس توتال می‌توانید مجوزها را مشاهده کنید. پس از آن دسترسی‌ها را با دسترسی‌های نسخه اصلی ذکر شده در گوگل‌پلی یا اپ‌استور مقایسه کنید.

علاوه بر موارد ذکر شده بررسی گواهی‌ها و قوانین سیستم تشخیص نفوذ می‌تواند به تشخیص دستکاری شدن اپلیکیشن کمک کند. برای بررسی گواهی‌ها، اپ دریافت شده از منابع مشکوک را در ویروس توتال آپلود کنید، سپس به قسمت DETAIL بروید و از آنجا به بخش Android Info بروید. در زیر این قسمت اطلاعات گواهی‌ها با نام‌های Certificate Attributes و Certificate Subject و Certificate Issuer ذکر شده است. در مورد نسخه جعلی ARGO VPN برخی بخش‌های گواهی با نسخه اصلی همخوانی ندارد و برخی دیگر نمایش داده نمی‌شود.

نسخه اصلی:

نسخه جعلی:

همچنین می‌توانید در ویروس توتال از طریق بخش BEHAVIOR به قسمت Crowdsourced IDS rules بروید. اگر ترافیک شبکه تولید شده توسط یک نمونه مطابق با قوانین سیستم تشخیص نفوذ ویروس توتال باشد، گزارش آن و شرح و جزئیات قانون را خواهید دید. در مورد ARGOVPN، در نسخه اصلی اپ جزئیات و قوانین شناسایی و ذکر شده است. اما در نسخه جعلی آرگو این اطلاعات ذکر شده متفاوت است.

نسخه اصلی:

نسخه جعلی:

توجه داشته باشید که دریافت اپلیکیشن‌ها از منابع معتبر تا حد زیادی نگرانی‌های امنیتی شما را رفع می‌کند. اما اگر بنا به هر دلیلی ناچار به دریافت اپلیکیشن از منابع ناشناخته‌اید، لازم است به نسخه اصلی اپلیکیشن رجوع کنید و موارد ذکر شده را بین دو نسخه اصلی و نسخه دریافت از شده از منابع متفرقه مطابق دهید.

اپ اندروید پس‌کوچه را دانلود کنید

دانلود
بازگشت به بالا