أندرويد للعرب

كشف تقرير جديد عن وجود ثغرة برمجية ضمن تطبيق Truecaller الشهير، حيث تهدد هذه الثغرة خصوصية المستخدمين وتجعل معلوماتهم الشخصية معرضة للاختراق والسرقة.

وفقًا للتقرير الرسميّ المنشور على موقع التطبيق، فإن استغلال الثغرة يتم بعد معرفة رمز IMEI الخاص بالهاتف الذكيّ، بحيث إذا تمكن المخترقون من معرفة الرمز سيكونوا قادرين على تنفيذ شيفراتٍ برمجية عن بعد على الهاتف الضحية، وبما يمكنهم من سرقة المعلومات الخاصة بمستخدمي التطبيق، مثل الاسم والبريد الإلكترونيّ والعنوان ورقم الهاتف. أكثر من ذلك، يمكن للمخترقين أن يقوموا بتعديل معلومات المستخدم نفسها.

الأمر الجيد بهذه الثغرة أن الفريق المطور للتطبيق قد استجاب بشكلٍ سريع بعد أن اكتشافها، حيث تم إطلاق تحديث جديد للتطبيق يضمن إصلاح الثغرة وإزالة الخطر عن أكثر من 100 مليون مستخدم للتطبيق على مختلف أنظمة تشغيل الهواتف الذكية.

يجدر الإشارة هنا إلى أن الثغرة قد تم اكتشافها عبر شركة Cheetah Mobile الصينية، وهي نفس الشركة المطورة لتطبيق Clean Master الشهير ولكل التطبيقات الأخرى المرافقة له، مثل CM Security و CM Browser.

من أجل ضمان عدم التعرض لخطر الاختراق عبر الثغرة الموجودة في تطبيق Truecaller، عليكم التأكد من تنصيب آخر نسخة من التطبيق على متجر بلاي: اضغط هنا.

المصدر

أعلنت شركة جوجل أنها تعمل على إطلاق تحديث أمني جديد وطارئ لأنظمة الأندرويد بهدف حل مشكلة برمجية قد تشكل تهديدًا على عددٍ كبير من الهواتف الذكية العاملة على نظام الأندرويد. ستقوم جوجل بإطلاق التحديث لأجهزة نيكسوس بشكلٍ مُباشر، كما أنها ستُوّفره للشركات المُصنّعة للهواتف الذكية كي تقوم بدورها بإرساله لهواتفها الذكية.

الثغرة تتعلق بالشيفرة المَصدرية لنواة لينوكس الذي يتم بناء نظام الأندرويد عليه، حيث تم اكتشاف الثغرة  (التي تحمل الرمز CVE-2015-1805) الإصدارات التي تحمل الأرقام: 3.4, 3.10, 3.14 من نواة لينوكس. يُمكن استغلال هذه الثغرة عبر التطبيقات الخاصة بالمُستخدم الجذر Root Access والتي لا تتوافق مع آخر  التحديثات الأمنية من جوجل، هذا يعني أن الآن ليس أفضل وقت كي تقوموا بالحصول على صلاحيات الجذر، نظرًا لوجود الكثير من التطبيقات الخاصة بهذه الإجرائية، والتي قد تُعرّضكم لخطر الاختراق.

تم تصنيف هذه الثغرة على أنها “حرجة Critical” حيث يُمثل هذا التصنيف أعلى درجة خطورة للثغرات البرمجية التي يمكن استغلالها، لأن الثغرات الموجودة ضمن هذا التصنيف تعني أنه يمكن تنفيذ شيفرات برمجية ضمن نواة نظام التشغيل نفسه، وستكون الأضرار غير قابلة للإصلاح أو الإزالة، بمعنى أنه سيتوجب على المُستخدم إزالة نظام الأندرويد كليًا وإعادة تنصيبه.

بشكلٍ أساسيّ، كان إصلاح هذه الثغرة ضمن خطة جوجل للتحديثات الأمنية الدورية التي تطلقها كل شهر، إلا أن بحثًا أمنيًا جديدًا أظهر إمكانية استغلال الثغرة على هاتف Nexus 5، وإمكانية استغلالها لتنفيذ شيفراتٍ برمجية عشوائية ضمن نواة النظام نفسها عبر التّطبيقات الخبيثة، ما يجعل المُستخدم عرضةً لطيفٍ واسع من التهديدات، مثل التجسس وسرقة معلوماته وحساباته الشخصية.

هواتف Nexus 5 و Nexus 6 مُعرّضة للخطر جراء هذه الثغرة، إلا أن أي هاتف أندرويد لا يمتلك التحديثات الأمنية الخاصة الجديدة سيكون مُعرّضًا للخطر في حال استخدام أحد التطبيقات التي تستغل الثغرة البرمجية. قامت جوجل بحجب هذه التطبيقات من متجر بلاي، وهي تقول أنه على المُخترقين أن يقنعوا المُستخدمين بتنصيب التطبيقات الخبيثة بشكلٍ يدويّ. بمعنى آخر، لا يُنصح حاليًا (ولا بأي وقتٍ آخر برأيي الشخصي) بتحميل أو تحديث أي تطبيق خارج متجر بلاي.

أهم نقطة تم ذكرها في التقرير الأمنيّ الجديد أن المُستخدم لن يكون مُهددًا أو بخطر إلا في حال قام بتنصيب أحد التطبيقات الخبيثة التي تعمل على استغلال الثغرة. هذا يعني أنه من الأفضل عدم تحميل وتنصيب أي تطبيقاتٍ خارج متجر بلاي، كونه المتجر الرسميّ من جوجل والذي يوفر أعلى درجة حماية وأمان للمستخدمين. بالإضافة لذلك، تنصح جوجل بتفعيل خيار Verify Apps من تطبيق Google Settings على الهاتف الذكي، ويمكن أن يتم ذلك عبر الخطوات التالية:

• النقر على تطبيق Google Settings (ليس نفس التطبيق الخاص بإعدادات الهاتف Settings).
• النقر على خيار Security.
• التأكد من تفعيل خيار Scan Device for Security Threats تحت بند Verify Apps.

من المنتظر وصول التحديثات الأمنية الجديدة لكل المستخدمين مع التحديثات الدورية التي تقوم الشركات المصنعة بإطلاقها. بهذه الأثناء، عليكم ألا تحاولوا تنصيب التطبيقات الخاصة باكتساب صلاحية الجذر Root، والتحقق من تفعيل خاصية Verify Apps ضمن إعدادات جوجل على الهاتف الذكي، وعدم تحديث أو تحميل التطبيقات خارج متجر بلاي. بشكلٍ عام، أعتقد أن هذه النصائح فعالة للاستخدام بكل الأوقات لضمان أعلى درجة حماية وأمان للمُستخدمين.

المصدر

على الرّغم من تزويد الهواتف الذكية بالعديد من الخيارات الخاصة بحماية خصوصية المُستخدمين، إلا أنه لا يزال هنالك طرق لتجاوز آليات الحماية، حتى لو تضمّنت وسائل حماية شخصية، مثل مسح بصمة المستخدم. آخر الضحايا كان هاتف LG V10 الجديد الذي تبين أنه يوجد طريقة لتّجاوز الحماية الخاصة بمسح البصمة.

تتعلق الثغرة الجديدة باستخدام تطبيق Nova Launcher، حيث يُمكن عبر التلاعب بإعدادات ماسح البصمة ضمن التطبيق التّوصل لطريقةٍ تُمكّن المُخترق من تجاوز حماية الهاتف.

كيف يستطيع المُخترق تجاوز الخصوصية؟ 

إن كنتم من مُستخدمي هاتف LG V10 أنصحكم باتباع الخطوات التالية بأنفسكم للتّعرف على الثغرة:

• تحميل وتنصيب تطبيق Nova Launcher.
• إنشاء الويدجت الخاص بنشاطات الهاتف الذكي Nova Activities ووضعه على الشاشة الرئيسية.
• فتح الويدجت، والبحث عن النشاط الذي يحمل اسم com.lge.fingerprintsettings
• النقر على النشاط الأخير، ومن ثم النقر على خيار “إضافة بصمة Add Fingerprint”.
• بعد تفعيل الخيار الأخير، قوموا بإضافة نموذج بصمة، وسيتم إنشاء ويدجت خاص به على الشاشة الرئيسية للهاتف الذكي.
• قوموا الآن بقفل الهاتف الذكي وإعادة فتحه من جديد، وسيفتح الهاتف الذكي بدون الحاجة للمرور على مرحلة التعرف باستخدام حساس البصمة المتواجد في اللوحة الخلفية للهاتف الذكي.

إذًا، الفكرة من الثغرة هي إمكانية استغلال أحد ميزات تطبيق Nova Launcher في حال وقع هاتفكم الذكي بيد أحد المخترقين، لسببٍ أو لآخر. قد يبدو الموضوع بالنسبة لكم معقدًا زيادة عن اللزوم، ولكن الثغرة موجودة بالفعل، والمخترقين يبحثون عن هكذا طرق بالمجهر، كي يتمكنوا من كسر أي وسيلة حماية للهاتف الذكي.

ما هو الحل؟ 

بشكلٍ افتراضيّ، يمكن للمستخدم أن يقوم بإضافة 4 أنماط بصمة لحساس البصمة على هاتفه الذكي. كل ما عليكم القيام به هو استغلال كل هذه الخيارات، أي القيام بإضافة الأنماط الأربعة. بهذه الحالة، وحتى لو وقع الهاتف بيد أي شخص، لن يستطيع إضافة أي نمط بصمة جديد يتمكن عبره من كسر الحماية واستغلال هذه الثغرة. بكل تأكيد، إضافة كلمة سر قبل الولوج لإعدادات حساس البصمة على هاتفكم الذكي هو أمرٌ مفروغٌ منه.

الشكر في اكتشاف هذه البصمة يعود لقناة Matt OnYourScreen على اليوتيوب والتي قام المشرف عليها بنشر فيديو توضيحي كامل للثغرة، وكيفية حصولها، وكيفية الحماية منها.

كلمة أخيرة: جرّب بنفسك!

أفضل نصيحة يمكن استخلاصها من هذا المقال هي أن يقوم المستخدم بتجريب التلاعب بالخيارات المختلفة المتواجدة ضمن هاتفه الذكيّ، بشرط أن يكون على درايةٍ بما يقوم، كي لا تتحول عملية البحث عن ثغرةٍ أو مشكلةٍ ما لكارثة تسبب ضرر للهاتف الذكي. الفكرة الأساسية هنا أن هذه الثغرة قد اكتشفت عن طريق التجربة، والتي هي نفس أسلوب المخترقين من أجل اختراق هواتفكم والحصول على معلوماتكم الشخصية. قد يظن البعض أن الثغرة الأمنية هي شيفرة برمجية خاطئة ضمن تطبيقٍ ما أو ضمن مكانٍ ما في إعدادات نظام الأندرويد، والواقع أن الثغرة الأمنية هي استغلال لميزات الهاتف نفسه وميزات التطبيقات، والتي قد لا ينتبه المصنعون والمطورون لها.

بكل الأحوال، هذا المقال لا يعني أن هاتف LG V10 سيء أو أنه عرضة للاختراق بسهولة أو أنه غير محمي كما يجب، بل يعني أن أي هاتف ذكي مهما كانت درجة قوته وحمايته، قد يكون عرضة للاختراق بطرقٍ قد لا تخطر على البال.