انتشار شده در تاریخ 1400/10/01 - 09:12

اپلیکیشن های آموزش‌وپرورش آمریکا زمین‌بازی کلاه‌برداران سایبری

بررسی‌های جدید خطرات امنیتی جدی را در اپلیکیشن های آموزشی مدارس آمریکا کشف کرده که به مجرمان فرصت کلاه‌برداری می‌دهد.

به گزارش کارگروه امنیت سایبربان به نقل از د ریکورد؛ بر اساس گزارشی که روز دوشنبه توسط اتحادیه غیرانتفاعی Me2B منتشر شد، بسیاری از اپلیکیشن های مورد استفاده در مدارس آمریکا دارای ویژگی‌هایی هستند که می‌تواند منجر به اشتراک‌گذاری «غیرقابل‌کنترل و خارج از کنترل» داده‌های دانش‌آموزان به شرکت‌های تبلیغاتی و سایر مسائل امنیتی شود.

این بررسی، گزارش تکمیلی از گزارش ماه می Me2B است. در آن گزارش Me2B بالغ‌بر 73 اپلیکیشن مورد استفاده در 38 مدرسه آمریکا را مورد بازرسی قرار داد و دریافت که 60 درصد از آن‌ها اطلاعات دانش‌آموزان را به اشخاص ثالث ارسال می‌کردند. تقریباً نیمی از آن‌ها داده‌های دانش‌آموزان را به گوگل و 14 درصد هم اطلاعات دانش آموزان را به فیس‌بوک ارسال می‌کردند.

Me2Bدر گزارش جدید خود به‌طور خاص به استفاده از یک ویژگی مشترک به نام "WebView" می‌پردازد که به توسعه‌دهندگان اجازه می‌دهد صفحات وب را در برنامه‌ها ادغام کنند. اگرچه این ویژگی به مدارس اجازه می‌دهد تا جزئیات پویا مانند تقویم‌ها و نتایج رویدادهای ورزشی را بدون نیاز به به‌روزرسانی در خود اپلیکیشن قرار دهند، اما می‌تواند منجر به حذف اطلاعات دانش آموزان شود و در موارد بدتر، دانش آموزان و والدین را هدف کلاه‌برداری اینترنتی قرار دهند.

مجرمان سایبری و کلاه‌برداران به‌طور منظم URL های منقضی شده را اسکن می‌کنند و از آن‌ها برای هک کردن ایمیل‌های تجاری، حملات فیشینگ و کمپین‌های تبلیغاتی مخرب استفاده می‌کنند. مدارس آمریکا اگر فراموش کنند دامنه خود را تمدید کنند یا استفاده از دامنه‌ای را بدون اینکه متوجه شوند در اپلیکیشن های دانش آموزان ادغام کنند، ممکن است قربانی این حملات شوند.

به‌عنوان‌مثال، در موارد متعددی محققان ربودن صفحات وب مرتبط با اپلیکیشن های مدارس را مشاهده کردند که کاربران را به سمت سایت‌های مخرب سوق می‌داد. اپلیکیشنی که توسط بزرگ‌ترین منطقه مدرسه‌ای مریلند استفاده می‌شد به‌طور تصادفی کاربران را به یک سایت در معرض خطر هدایت می‌کرد که زمانی برای تیم‌های ورزشی منطقه استفاده می‌شد. مدرسه منطقه کوینلانِ تگزاس هم یک دامنه ورزشی داشت که در برنامه خود ادغام‌شده و توسط یک بازیگر ناشناس به قیمت 30 دلار خریداری شده بود. یک تهدید امنیتی که گاهی اوقات دامنه آویزان (dangling domain) نامیده می‌شود.

زاک ادواردز (Zach Edwards)، مسئول بررسی یکپارچگی داده‌ها در Me2B گفت:

به نظر می‌رسد مدارس به‌تازگی ثبت‌کننده‌های دامنه خصوصی را برای ثبت دامنه‌های غیردولتی (غیر.gov) خود انتخاب کرده‌اند و سپس فراموش کرده‌اند دامنه‌ها را تمدید کنند. ظاهراً مدارس حتی متوجه نشدند که کنترل این دامنه‌ها را نیز ازدست‌داده‌اند تا زمانی که ما این مسئله را گزارش کردیم.