«زيمبريوم»: التطبيق يتيح لقراصنة الإنترنت اختراق الهاتف والتحكم فيه
شركة متخصصة في أمن الهـواتــــف تحذر من ثغرة أمنية خطرة في «إيردرويــــد»
إذا كنت من بين الـ20 مليون مستخدم للهواتف العاملة بنظام تشغيل «أندرويد»، الذين ثبّتوا تطبيق «إيردرويد» الواسع الانتشار، فاعلم أن كل معلوماتك ومكالماتك وبياناتك الحساسة والمهمة على «المحمول»، مثل أرقام بطاقات الائتمان، وكلمات المرور، والصور، والملفات، والفيديوهات الخاصة بك، في خطر داهم وشديد، وعرضة لأن تكون تحت رحمة وتحكم مجرمي ومخترقي شبكة الإنترنت طوال الوقت، يعبثون بها ويتحكمون فيها من دون أن تدري، لذلك، فالمطلوب منك إيقاف وإزالة هذا التطبيق من الهاتف على الفور، حتى طرح النسخة المؤمّنة الموثوق بها من قبل الشركة المنتجة.
هذا التحذير الصريح للملايين من مستخدمي الهواتف العاملة بنظام تشغيل «أندرويد»، صدر عن فريق من الباحثين في أمن المعلومات، يعمل في شركة «زيمبريوم» المتخصصة في بحوث أمن الهواتف المحمولة، ونشرته مواقع تقنية كبرى خلال الأيام الماضية، ومن بينها موقع «كمبيوتر وورلد» computerworld.com الذي نشره في الثالث من ديسمبر الجاري.
تطبيق «إيردرويد»
|
الحل خلال أسبوعين قالت مديرة التسويق في شركة «ساند استوديو» المنتجة لتطبيق «إيردرويد»، بيتي تشين، إن حل هذه المشكلة سيستغرق أسبوعين إلى ثلاثة أسابيع على الأقل، نظراً إلى أن فريق البرمجة يحتاج إلى وقت لتطوير الحل ومزامنة الكود مع كل المتعاملين من مختلف المنصات والإصدارات التي يعمل عليها قبل البدء في توزيع ونشر النسخة الجديدة المحدثة المؤمّنة. وأضافت أن حل التشفير الجديد غير متوافق مع كل النسخ السابقة من التطبيق. |
يعد تطبيق «إيردرويد» من التطبيقات واسعة الانتشار التي تعمل على نظم تشغيل «أندرويد»، ويستخدم في تنفيذ مهام الإدارة عن بُعد، بمعنى أنه يتيح لصاحبه التحكم في أجهزة أو منتجات أو خدمات أخرى عن بعد من خلال هاتفه المحمول، أو العكس، أي التحكم في الهاتف المحمول من بعد عبر التطبيق.
وقد ظهر «إيردرويد» للمرة الأولى عام 2011، وطورته شركة تدعى «ساند استوديو»، وتم تحميله 20 مليون مرة من قبل مستخدمي هواتف «أندرويد» حول العالم.
وحتى يقوم هذا التطبيق بمهام الإدارة عن بعد، فإنه يحصل، فور تثبيته على الهاتف، على حق الوصول إلى قائمة السجلات بالهاتف، ومعلومات الموقع، والرسائل النصية، والصور، وسجل المكالمات، والكاميرا، والميكروفون، والمحتوى الموجود في شريحة ذاكرة «إس دي»، ولوحة مفاتيح الاتصال، ويمكنه أيضاً أن يعمل في مشتريات التطبيق، ويغير إعدادات النظام، ويوقف قفل الشاشة، وتغيير وضعية الاتصال بالشبكات، وبعبارة أخرى، فإن الهاتف يصبح بالكامل تحت تصرفه بلا عوائق.
تاريخ ضعيف
وطبقاً لما يقوله فريق الباحثين في شركة «زيمبريوم» لأمن الهواتف المحمولة، فإن للتطبيق تاريخاً معروفاً من حيث نقاط الضعف الأمنية الموجودة به، ففي أبريل 2015 قال باحثون في أمن المعلومات إنه استطاع السيطرة على جهاز «أندرويد» مثبت عليه تطبيق «إيردرويد» من خلال إرسال رابط خبيث إلى المستخدم كرسالة نصية قصيرة.
وفي فبراير من العام نفسه، قال باحثون من شركة «تشيك بوينت» إنهم وجدوا طريقة لاختراق «إيردرويد» وسرقة البيانات من الجهاز المثبت عليه، من خلال صنع بطاقة بيانات خبيثة «في كارد» وإرسالها إلى صاحب الهاتف.
هذا السجل من الشك دفع الباحثين في شركة «زيمبريوم» إلى مراجعة وفحص الوضع الأمني لهذا التطبيق، وقال الفريق إن عملية الفحص أسفرت عن اكتشاف نقاط ضعف خطرة، تتمثل في أن شاشة المشاركة في البرنامج ترسل معلومات المصادقة والتحقق من الهوية مشفرة مع مفتاح «تكويد» ثابت، وخلال الاختبارات ثبت أن تشفير هذه المعلومات ليس كافياً، ومن ثم يمكن أن تسمح للمهاجمين المتخصصين في تنفيذ الهجمات بالأسلوب المعروف باسم «رجل في المنتصف»، وذلك بدفع إضافات خبيثة داخل البرنامج، لتقوم حينئذ بالسرقة، والحصول على الصلاحيات والبيانات الحساسة الخاصة بتشغيل التطبيق نفسه، وترسلها للمهاجم.
طريقة التشفير
والسبب في هذه الثغرة الأمنية يعود إلى سوء وفقر أسلوب تنفيذ التشفير المطبق في البرنامج، فالمفترض أن جميع الخصائص والوظائف بالبرنامج تستخدم معيار التشفير «إتش تي تي بي إس» المؤمّن في تشفير وتكويد البيانات قبل إرسالها للحاسبات الخادمة عبر شبكات الاتصالات والمعلومات والإنترنت، لكن الأمر لا يتم على هذا النحو، لأن هناك بعض الوظائف والخصائص الموجودة في التطبيق، ترسل البيانات إلى الحاسبات الخادمة البعيدة عبر بروتوكول «إتش تي تي بي» غير المشفر وغير المؤمّن، فضلاً عن أن مفتاح التشفير المستخدم في هذا التطبيق من النوع الثابت، ويتم تضمينه داخل التطبيق نفسه، ما يعني أن أي شخص يمكنه استرجاعه والتعرف عليه.
نقطة الضعف
كشف المهاجمون والمخترقون الذين يهاجمون بأسلوب «رجل في المنتصف» نقطة الضعف هذه، وأصبح بإمكانهم الآن التقاط الطلبات أو الرسائل التي تخرج من التطبيق بصورة غير مؤمّنة، والسطو عليها، واستخدامها في النفاذ إلى التطبيق نفسه، والتحكم فيه.
وطبقاً للفريق، فإن السيناريوهات المتوقع أن يقوم بها المهاجمون والمخترقون، تتضمن استخدام الطلبات أو الرسائل الصادرة عن تطبيق «إيردرويد» بخصوص تجميع الإحصاءات أو البيانات، وهي طلبات ترسل بوساطة هذا التطبيق إلى كمبيوتر خادم يستخدم نمط تشفير «دي إي إس» بلغة «جيسون»، وهذه البيانات تتضمن محددات الهوية، أو المعرفات، مثل رقم الحساب، ورقم الجهاز، والمفتاح المنطقي، والرقم المتفرد وغيرها. وحينما يصبح المهاجم في وضعية هجوم «رجل في المنتصف»، يمكنه تحسس أو معرفة طلبات تطبيق «إيردرويد» المتجهة إلى الكمبيوتر الخادم المسؤول عن جمع الإحصاءات، والتقاطها، ثم استخدام مفتاح التشفير الثابت لفك تشفير بيانات «جيسون»، ثم يواصل الهجمة حتى يسيطر على الهاتف كلياً.
تنبيهات لا تلقى الاهتمام
وأشار الباحثون إلى أنهم نبهوا المطورين في الشركة المنتجة للتطبيق إلى هذه الثغرات في مايو 2016، ثم جرى إعلامهم مرة أخرى في سبتمبر، وكان المفترض أن تحتوي النسخ الحديثة من التطبيق، التي تحمل رقمَي (4.0.0) و(4.0.1)، على تحديثات تعالج هذا الأمر، إلا أن هذا لم يحدث، وهنا اتخذ فريق الباحثين قراره بأن يعلن عن هذه المشكلة، ويطرحها على مستخدمي هواتف «أندرويد» حول العالم لأخذ الحيطة والحذر. وفي نهاية التحذير أوصى الفريق جميع مستخدمي هواتف «أندرويد» بإيقاف وإزالة هذا التطبيق من على هواتفهم، حتى يتم التأكد من حل المشكلة، وتطرح الشركة المنتجة إصدارات جديدة موثوقاً في تأمينها.