ثغرة خطرة بنظام أندرويد لم تسلم منها تطبيقات غوغل

تظهر على فترات مُتقطّعة ثغرات أمنية في مُعظم أنظمة التشغيل، وخصوصًا أندرويد، نتيجة لمنطق خاطئ في إحدى المكتبات المُستخدمة، وهو أمر طبيعي جدًا ويُمكن حلّه بتحديث بسيط للمكتبة المُستخدمة. لكن آخر ما توصّلت له شركة ”تشيك بوينت“ (Check Point) كان ثغرة على مستوى منطق نظام التشغيل، ثغرة يُمكن أن تُصيب -وأصابت- مجموعة من التطبيقات، بما في ذلك تطبيقات شركة غوغل نفسها.

نظام التخزين في أندرويد
يوفّر نظام أندرويد للمُطوّرين خيارين للتخزين، الأول على الذاكرة الداخلية، والثاني على الخارجية التي يُمكن أن تكون على هيئة بطاقة ذاكرة من نوع ”إس دي كارد“ (SD Card) على سبيل المثال لا الحصر، أو يُمكن أن تكون جزء من ذواكر التخزين الموجودة داخل الجهاز. أما عن سبب وجود نوعين لمساحات التخزين، فالسبب يعود لنظام الحماية الموجود داخل أندرويد.

بشكل عام، يقوم نظام أندرويد بعزل كل تطبيق في صندوق خاص به، صندوق لا يُمكن لأي جهة ثانية أيًا كانت، باستثناء التطبيق ذاته، الوصول إليها. ذلك الصندوق يحتوي على بعض الملفّات المؤقّتة اللازمة للتطبيق، بالإضافة إلى الصور وغيرها من الوسائط، دون نسيان المُستندات الخاصّة. يتم تخزين ذلك الصندوق على المساحة الداخلية فقط، وهذا بند أساسي من بنود الأمان في نظام أندرويد.

أما مساحة التخزين الخارجية فهي وسيلة لتوفير البيانات لبقيّة التطبيقات، فتطبيق الكاميرا على سبيل المثال يقوم بتخزين الصور بعد التقاطها على المساحة الخارجية بحيث يُمكن لأي تطبيق فيما بعد الوصول لها دون مشاكل. كما يُمكن الوصول لها أيضًا عند وصل الهاتف بالحاسب. ومن شروط الاستخدام الخاصّة بنظام أندرويد، تطلب غوغل من المُطوّرين عدم وضع أية بيانات حسّاسة أو تطبيقات على المساحة الخارجية لتجنّب أية هجمات غير متوقّعة.

المُطوّرون بطبيعة الحال يلجأون للذاكرة الخارجية لأكثر من سبب منها عدم وجود مساحة كافية على الذاكرة الداخلية خصوصًا عند تحميل ملفّات من الإنترنت، أو لرغبتهم في عدم إظهار أن تطبيقاتهم تستهلك الكثير من مساحة الجهاز. لكن أيًا كان السبب، تبيّن أن مُعظم الشركات بما في ذلك غوغل و“شاومي“، وحتى ”ياندكس“ (Yandex)، لا تتبّع أدنى معايير الأمان، ومن هنا عثرت شركة ”تشيك بوينت“ على ثغرة جديدة عرّفتها بـ (Man-in-the-Disk)، أي مُراقب (مُخترق) على قرص التخزين(1).

آلية العمل
قبل أي شيء، لا يُمكن استغلال تلك الثغرة إلا من خلال تثبيت تطبيق خبيث على دراية بها، فالأساس هو التطبيق الذي سيطلب من المُستخدم صلاحيات للوصول لذاكرة التخزين الخارجية (External Storage)، وتلك صلاحية لا تُثير الريبة وغالبًا ما يتم الموافقة عليها دون مشاكل، لتبدأ بعدها عملية الاستغلال لإصابة جهاز المُستخدم. ما سيقوم به التطبيق الخبيث هو رصد نشاط التطبيقات التي تقوم بتخزين البيانات على الذاكرة الخارجية. وفي بعض الأحيان، قد يكون التطبيق موجّهًا لاستهداف تطبيق مُحدّد فقط دون غيره.

بحسب الأبحاث، فإن تطبيق ترجمة غوغل على سبيل المثال يقوم بتحميل ملفّات وبتخزينها على الذاكرة الخارجية، الأمر الذي سينتبه له التطبيق الخبيث وسيحاول تغيير محتوى تلك الملفّات لزرع تعليمات برمجية خبيثة. وفي تطبيقات أُخرى مثل مُتصفّح ”شاومي“، يقوم التطبيق بتحميل النسخة الجديدة كاملةً على ذاكرة التخزين الخارجية بلاحقة (APK)، اللاحقة المُعتمدة في أندرويد للتطبيقات.

إلى هُنا لا تنتهي الحكاية، فاللوم ليس فقط على التطبيق الخبيث، بل على التطبيق السليم مثل ترجمة غوغل -على سبيل المثال لا الحصر- لأنه بحاجة للتأكّد من سلامة أي ملف موجود على الذاكرة الخارجية قبل اعتماده وقراءته، وتتوفّر لذلك آليات مُصادقة كثيرة تذكرها غوغل في شروط الاعتماد على ذاكرة التخزين الخارجية في أندرويد. ومن دون المُصادقة، سيقوم التطبيق بقراءة محتويات الملف الذي قام التطبيق الخبيث بتعديله، وهنا تبدأ مراحل الإصابة التي تختلف درجات تأثيرها من تطبيق للآخر(2).

الأضرار والحماية
أبسط ما يُمكن للتطبيق الخبيث القيام به هو إيقاف تطبيق ما عن العمل، فتطبيق الخرائط مثلًا يقوم بتخزين الرسومات والبيانات على الذاكرة الخارجية، وتغيير محتويات تلك الملفّات إلى بيانات عشوائية لا معنى لها سيؤدّي لمشاكل في التطبيق ذاته لأنه سيجد صعوبة في قرائتها، وبالتالي التوقّف عن العمل بشكل مُفاجئ، وهذا ما يُعرف بهجمات الحرمان من الخدمة (Denial of Service)، ولا يُمكن للمُستخدم في هذه الحالة سوى مُحاولة حذف بيانات التطبيق، أو التطبيق ذاته، وإعادة تحميل كل شيء من جديد أملًا في عدم تدخّل التطبيق الخبيث مرّة أُخرى.

في حالات أُخرى قد ينجح التطبيق الخبيث في الحصول على صلاحيات واسعة، فلو فرضنا أن التطبيق الخبيث لا يمتلك صلاحيات لاستخدام الكاميرا والمايكروفون، ونجح في إصابة تطبيق مثل ”سكايب“ على سبيل المثال لا الحصر، وهو تطبيق بالأصل يمتلك تلك الصلاحيات، سيكون التطبيق الخبيث قادرًا على تشغيل الكاميرا أو المايكروفون دون علم صاحب الجهاز، ليستخدمه كجسر للوصول لصلاحيات لا حصر لها.

أما الضرر الأكبر فهو إمكانية تحميل تطبيق خبيث كامل دون علم المُستخدم ودون الحاجة لموافقته بالأساس، وهذا في التطبيقات التي تقوم بتحميل التحديثات لتخزينها على الذواكر الخارجية، فعوضًا عن الحفاظ على ملف التثبيت ذاته، يقوم التطبيق الخبيث باستبداله بتطبيق آخر، ليقوم التطبيق السليم بتثبيته ظنًّا منه أنه التحديث الذي قام بتحميله قبل ثواني، ومن هنا يظهر تطبيق آخر على جهاز المُستخدم دون علمه، وقد يعمل دون علمه أيضًا عبر استغلال ثغرات أُخرى موجودة في النسخ القديمة من نظام أندرويد(3).

قبل نشر تفاصيل الثغرة، تواصلت شركة ”تشيك بوينت“ مع غوغل ومع الشركات الأُخرى التي لا تتّبع تطبيقاتها أعلى المعايير الأمنية أملًا في الحد من انتشارها قدر الإمكان. كما وعدت غوغل بإطلاق تحديثات لتنظيم ذاكرة التخزين الخارجية. لكن آلية الحماية منها لحين وصول نظام صارم، وهو أمر مُستبعد في المُستقبل القريب، تكمن في عدم تثبيت أية تطبيقات مشكوك في أمرها حتى لو كانت داخل متجر ”غوغل بلاي“ (Google Play)، لأن أساس الأصابة يبدأ من تطبيق ومن صلاحية وصوله لذاكرة التخزين الخارجية ولا شيء غير ذلك، وهو الأمر الوحيد الذي يُمكن للمُستخدم العادي القيام به لأن ما بقي يقع على عاتق المُطوّرين من جهة، وغوغل من جهة أُخرى(2).

ختامًا، ليست هذه الثغرة الأولى، ولا حتى الأخيرة، في أنظمة التشغيل. والوثوق في نظام ما يكمن في سرعة استجابة القائمين عليه على إغلاق الثغرة ونشر الحل الأمني، الأمر الذي تسعى غوغل للقيام به مع الثغرة الجديدة التي تحتاج إلى نظام جديد داخل أندرويد للتعامل مع الملفّات الموجودة على الذواكر الخارجية، التي هي بالأساس مساحة لنشر الملفّات العامّة لتصل إليها جميع التطبيقات. لكن إهمال المُطوّرين، بما فيهم أولئك العاملين في غوغل و“ياندكس“ تسبّب في كارثة أمنية يدفع المُستخدم -للأسف- ثمنها.

الجزيرة

Exit mobile version