باحثو الأمن السيبراني يكتشفون ثغرات أمنية في 120 ألف تطبيق
يُعد استخدام تطبيقات الهاتف المحمول جزءًا من روتيننا اليومي، وقد يقوم أي شخص بتنزيل وتثبيت مجموعة متنوعة من التطبيقات، سواء كان تطبيق لعبة أو توصيلًا أو بثًا على هاتفه الذكي.
وفي حين أن معظم هذه التطبيقات تبدو غير ضارة للمستخدمين، حلل باحثون من جامعة ولاية أوهايو، وجامعة نيويورك ومركز (CISPAHelmholtz) لأمن المعلومات، أفضل 150 ألف تطبيق أندرويد، وكشفوا عن الأبواب الخلفية المخفية والسلوك المشبوه في 12706 تطبيقات.
وكان اختيار التطبيق كما يلي:
- 100 ألف تطبيق بناءً على عدد التنزيلات من متجر ” GooglePlay”.
- 20000ألف تطبيق من متاجر بديلة.
- 30 ألف تطبيق مثبت مسبقًا على الهواتف الذكية التي تعمل بنظام التشغيل “أندرويد”.
وقال الباحثون في الدراسة: “حددنا 12706 تطبيقات تحتوي على مجموعة متنوعة من الأبواب الخلفية، مثل مفاتيح الوصول السرية وكلمات المرور الرئيسية والأوامر السرية، التي يمكن أن تسمح للمستخدمين بالوصول إلى وظائف المسؤول فقط أو تسمح للمخترقين بوصول غير مصرح به إلى حسابات المستخدمين”.
ومن أجل بحثهم، طور الفريق (InputScope)، وهي أداة مخصصة تسمح لهم بالكشف عن السمات المخفية لتطبيقات الهاتف المحمول؛ من خلال تحليل سلوك التحقق من الإدخال،وكشفت الأداة عن ثلاثة أنواع من “السلوكيات الخفية الناتجة عن الإدخال باستخدام مفاتيح الوصول السرية وكلمات المرور الرئيسية والأوامر السرية”.
ويمكن استخدام المفاتيح السرية للوصول إلى واجهة المسؤول الخاصة بالتطبيق، والسماح للمستخدمين بتغيير تكوينه، على سبيل المثال، إذا تم تسجيل دخول ناجح، يمكن للمخترقين تغيير معرفات الشبكة وعناوين URL للتكوين وإعادة تعيين كلمات مرور المستخدم التعسفية.
ولإظهار ضعف كلمات المرور، حلل الباحثون تطبيقات قفل الشاشة الشائعة، ولاحظوا أن المخترقين “يمكنهم ببساطة تشغيل زر مخفي بعد عدة تجارب بكلمة مرور خاطئة، وتطلب الواجهة المخفية التي تظهر إدخال رمز خاص. بعد ذلك، يمكن للمخترقين النقر على الزر المخفي للحصول على واجهة جديدة؛ حيث يتم طلب رمز خاص،ومن خلال تقديم هذا الرمز، يمكن إعادة تعيين كلمة مرور إلغاء قفل الشاشة”.
وحدد الفريق أيضًا 4028 تطبيقًا يتضمن قائمة سوداء لإدخال الكلمات الرئيسية في فئات مثل المواد الإباحية، وخدمات المرافقة، والتمييز العنصري، والتسلط، وما إلى ذلك.
وقال الباحثون: “اكتشف تحليلنا أيضًا 4028 تطبيقًا للتحقق من إدخال المستخدم ضد الكلمات المدرجة في القائمة السوداء لفئات مختلفة، مثل الإهانات والتمييز العنصري وأسماء القادة السياسيين والحوادث الجماعية”.
بعد الانتهاء من الدراسة، كشف فريق الباحثين الأمنيين عن نتائجهم لمطوري التطبيقات، في حين أن بعض التطبيقات صححت بالفعل وظائفها المخفية التي يمكن استغلالها من قِبل الجهات الفاعلة الخبيثة، ومن المقرر أن يستمر الباحثون في تقديم مساعدتهم ودعمهم حتى يتمكن المطورون من فهم نقاط الضعف في تطبيقاتهم بشكل أفضل.