در کنفرانس شبگرد ۱ با همکاری دوست عزیزم جواد دادگر وضعیت اپ های موجود در کافه بازار رو بررسی و تحلیل کردیم، به درخواست بسیاری از عزیزان و همچنین کنجکاوی خودمون برای دیدن تغییرات ایجاد شده در کافه بازار، بعد از چند ماه مجددا این پلتفرم رو با شیوه ای جدید اسکن کردم. در این پست قراره نتایج اسکن دوم کافه بازار رو بررسی کنیم.
احتمال اینکه در ایران باشید و با کافه بازار آشنایی نداشته باشید خیلی کمه اما خیلی خلاصه، کافه بازار بزرگترین مارکت اندرویدی ایران هست که به دلیل تحریم های گوگل پلی (مارکت اصلی گوگل) برای ایرانی ها، در سال های اخیر جایگاه مهمی برای خودش دست و پا کرده و اکوسیستمی رو برای خودش تشکیل داده. از این جهت برای ما به عنوان متخصصین سایبری، پایش امنیت این پلتفرم بسیار جالب و مهم هست.
در اسکن اولیه ما که در سال ۲۰۱۹-۲۰۲۰ انجام شد و نتایجش رو اینجا میتونید بخونید، آمار عجیب و غریبی حاصل شد که حدود یک چهارم اپ های حاضر در این پلتفرم رو دارای پنج نتیجه مثبت اسکن و بالاتر نشون میداد. (هر نتیجه مثبت به معنی شناسایی اون اپ به عنوان یک برنامه مخرب توسط یکی از آنتی ویروس های معتبر دنیاست)
یکی از مهمترین مشکلات اسکن اول، زمان طولانی (چندین ماه) بود که در اسکن دوم مرتفع شد و در نوامبر ۲۰۲۰ طی دو مرحله در مدت زمان بسیار کوتاه تری ۹۱۸۷۸ اپ از ۱۵۷۰۷۰ اپ موجود در کافه بازار اسکن شدن. اپ های اسکن شده عموما اپ های قدیمی تر و اپ هایی هستن که در تحلیل قبلی ما مورد بررسی قرار گرفتن. به عنوان تذکر و شفاف سازی، دلیل کمتر شدن اپ های مورد بررسی نسبت به تعداد کل اپ ها، استفاده کافه بازار از یک API جدید و بسیار تمیز تر و راحت تر هست که به دلایل نامعلوم و ایشالا مفید، اپ های جدید منتشر شده در کافه بازار از طریق API قدیمی (که مورد استفاده ما بود) قابل دسترس نیستن و طبیعتا مطالعه و توسعه ابزار جدید برای API جدید کافه بازار از حوصله من برای این نگاه کلی خارج بود.
با یک نگاه کلی میشه متوجه پیشرفت کافه بازار در پایین آوردن تعداد اپ های مشکوک خودش شد که جای تقدیر داره، اما همچنان حدود ۱۶۵۰۷ اپ یعنی حدود ۱۸ درصد اپ های اسکن شده، بالای ۵ نتیجه مثبت دارن (از ۲۳ درصد به ۱۸ درصد کاهش پیدا کرده یعنی حدود ۵ درصد بهبود) که خبر خوبی برای کاربران نیست. این موضوع زمانی حاد تر میشه که ۹۱۸۷۸ اپی که ما اسکن کردیم اپ های عموما قدیمی کافه بازار هستن و اپ های جدیدتر (بعد از بررسی اول ما) رو شامل نمیشن. مجددا برای من این سوال به وجود میاد که چرا وقتی من با دسترسی حداقلی و امکانات فوق محدود، امکان شناسایی این اپ هارو دارم، کافه بازار نسبت به پالایش این اپ ها اقدام نمیکنه؟ دقت داشته باشید امکان بررسی و اسکن اپ ها از سمت خود پلتفرم بسیار بهتر و راحت تر هست. (مثلا یک multiscan ساده هنگام ثبت اپ از طرف توسعه دهنده یا بررسی های دوره ای)
با وجود این نتایج و بهبود قابل توجه بین "اپ های قدیمی" کافه بازار، نیاز به یک بررسی جامع تر که کل اپ های قابل دسترسی (شامل قدیمی و جدید) مورد اسکن قرار بگیرن به شدت حس میشه چرا که این میزان بهبود باید در سطح کل پلتفرم مورد بررسی قرار بگیره تا بشه به یک ارزیابی مناسب از عملکرد ضد بدافزاری کافه بازار رسید.
نهایتا واضح هست که کافه بازار در تلاش برای سر و سامان دادن به درصد بدافزار های پلتفرم خودش هست و این موضوع جای انکار نداره، همچنین در بررسی اول و دوم هیچ بدافزار پیشرفته دولتی که به طور سازمان یافته به کنترل و سرقت اطلاعات اقدام کنه پیدا نشد؛ عموم بدافزار های شناسایی شده همچنان Adware ها و تبلیغ افزار های مخربی هستن که اقدام به تبلیغات غیر متعارف و خارج از پالیسی کافه بازار و عرف میکنن. لازمه روشن کنم این دسته از اپ ها بر خلاف تصور بسیاری یک نوع بدافزار محسوب میشن و صرفا در دسته low risk تری از بدافزار ها قرار میگیرن.
چند وقت پیش من ابزاری که برای دریافت اپ ها و اسکنشون از کافه بازار نوشته بودم رو در گیت هابم منتشر کردم (فعلا به طور ناقص) و قراره به زودی اسکریپت های اصلی به همراه داده های خام این دو تحقیق همونجا منتشر شن. لازم به ذکره برای علاقه مندان به امنیت و مهندسی معکوس، مطالعه این اسکریپت و روش ارتباطی کافه بازار در API قدیمی اون ها که در این تحقیق مورد استفاده قرار گرفت میتونه جالب و مفید باشه.
