أكثر من نصف تطبيقات هاتف «آي فون» تقوم بجمع رمز فريد من نوعه، والتشارك فيه، يمكن استخدامه لتعقب مستخدميه من دون معرفتهم، وفقا لدراسة حديثة.
وكان مانويل إيغل الذي يحضر لشهادةالدكتوراه في الجامعة الفنية في فيينا مع ثلاثة من الباحثين الآخرين قد قاموا بفحص كيفية قيام أكثر من 1400 تطبيق لهذا الهاتف الذكي، بمعالجة بيانات المستخدم. وأظهرت الدراسة أن عددا صغيرا من هذه التطبيقات فقط، قام بتعريض الخصوصيات إلى الخطر، 36 منها فضحت موقع الجهاز من دون إخطار صاحبها أولا، في حين قامت خمسة أخرى باستحصال بيانات من دفتر عناوين المستخدم، من دون إذنه. وسوف يقدم هذا البحث أمام ندوة حول أمن نظم التوزيع والشبكات التي تعقد بين 6 و9 من شهر فبراير (شباط) الحالي.
* رصد هوية الجهاز
* قام أكثر من نصف تطبيقات الهاتف التي جرت دراستها بالتقاط هوية الجهاز، التي هي 40 رقما عشريا، والتي تميز هاتفا محددا. في حين استخدم أكثر من 750 تطبيقا جرت دراستها نوعا من تقنيات التعقب. وفي ما يخص 200 حالة، قام المطورون بالعثور على وسيلة لتعقب الرمز المعرف بالجهاز. في حين قامت التطبيقات الأخرى باستخدام هذه المهمة عن طريق الإعلانات، أو تعقب مكتبة البرمجيات.
ويقول إيغل إن «هنالك إمكانية أن تقوم شركات ليست شرعية تماما في تجميع سير شخصية عن مستخدمي هذه الأجهزة. والرمز المعرف هنا ليس مرتبطا باسم المستخدم، لكن يمكن ربطه بحساب مسجل في (فيس بوك)، وهذا من شأنه أن يوفر الكثير من المعلومات عن المستخدم، بما في ذلك اسمه الحقيقي» في غالب الأوقات.
وتقوم «أبل» التي احتفلت أخيرا بتنزيل 10 مليارات نسخة من تطبيقاتها في مخزن التطبيقات بتمحيص وتدقيق هذه التطبيقات، كما تشترط على مطوريها طلب تخويل بغية الدخول إلى بيانات المستخدم. لكن لا يعرف سوى القليل عن كيفية قيام الشركة بالكشف على كل تطبيق.
ويقول شارلي ميلر الخبير في أمن هواتف «آي فون»، والمحلل الرئيسي في «إنديبيندنت سيكيورتي إيفاليوويترز»: «إنك قد لا تعرف تماما ما تقوم به هذه التطبيقات. فمصدرها ليس المطورين الكبار بل المطورين العاديين». ويضيف في حديث لمجلة «تكنولوجي ريفيو» أن «آي فون» يقوم أوتوماتيكيا بتحديد ما تستطيع هذه البرامج أن تقوم به عن طريق ما يسمى «ساندبوكس» sandbox، غير أن هذه القيود ليست شديدة بما فيه الكفاية، مما يعني أنه ليس من الصعب بتاتا جمع معلومات شخصية. فـ«ساندبوكس» هذا ليس صارما جدا، على حد قوله.
وقام الباحثون الأربعة بتحليل 825 تطبيقا متوفرا مجانا في مخزن تطبيقات «أبل»، و582 تطبيقا في مستودع «سيديا»، وهو خدمة توفر البرمجيات للمستخدمين الذين قاموا بنزع إجراءات «أبل» الأمنية من هواتفهم، وهي عملية تعرف بـ«الهروب من السجن».
* خرق الخصوصيات
* ويعرف إيغل ورفاقه خرق الخصوصيات على أنها حادثة بحيث يقوم البرنامج بقراءة بيانات حساسة من عناوين، وأرقام هاتفية، ومعلومات عن حسابات البريد الإلكتروني، من جهاز ليرسلها عبر الإنترنت، من دون استئذان صاحبها. لكن هؤلاء الباحثين لم تتسن لهم وسيلة لمعرفة ما إذا كان المستخدم هذا قد جرى خداعه لكي يأذن بذلك.
ويعلق إيغل على ذلك بقوله «إن وصف مفهوم (الحفاظ على الخصوصيات) الذي خرجنا به، هو رغبتنا في عدم استخلاص بيانات حساسة من جهاز جوال من دون معرفة مستخدمه. ولكننا لا نستطيع معرفة إن كان القصد من ذلك سيكون خبيثا أم لا».
وطور هؤلاء الباحثون برنامجا لاختبار مهمة كل برنامج، وتقرير ما إذا قام بجمع وإرسال معلومات حساسة من دون تبليغ مستخدم الجهاز. كما توجب عليهم فك الرموز الخاصة في كيفية قيام بعض التطبيقات المعينة بالعمل عن طريق معلومات محددة فقط.
ويضيف إيغل أن البحث أظهر أمرا مهما وهو أن التطبيقات من «مخزن أبل» كانت الأكثر احتمالا للوصول خلسة إلى بيانات المستخدم، من تطبيقات مستودع «سيديا» غير المحكومة أو المقيدة.
ويضيف ميلر أنه يتوجب على «أبل» أن تحسن عمليات تفحص وتدقيق تطبيقاتها، «لأنه لا يوجد حل سهل لهذه المشكلة، لكن وجود مركز للحلول، الموجود لدى (أبل) أيضا، هو أفضل سبيل إلى ذلك، لكن من المحتمل أن (أبل) لا تستخدمه حاليا بصورة جيدة».
وكان مانويل إيغل الذي يحضر لشهادةالدكتوراه في الجامعة الفنية في فيينا مع ثلاثة من الباحثين الآخرين قد قاموا بفحص كيفية قيام أكثر من 1400 تطبيق لهذا الهاتف الذكي، بمعالجة بيانات المستخدم. وأظهرت الدراسة أن عددا صغيرا من هذه التطبيقات فقط، قام بتعريض الخصوصيات إلى الخطر، 36 منها فضحت موقع الجهاز من دون إخطار صاحبها أولا، في حين قامت خمسة أخرى باستحصال بيانات من دفتر عناوين المستخدم، من دون إذنه. وسوف يقدم هذا البحث أمام ندوة حول أمن نظم التوزيع والشبكات التي تعقد بين 6 و9 من شهر فبراير (شباط) الحالي.
* رصد هوية الجهاز
* قام أكثر من نصف تطبيقات الهاتف التي جرت دراستها بالتقاط هوية الجهاز، التي هي 40 رقما عشريا، والتي تميز هاتفا محددا. في حين استخدم أكثر من 750 تطبيقا جرت دراستها نوعا من تقنيات التعقب. وفي ما يخص 200 حالة، قام المطورون بالعثور على وسيلة لتعقب الرمز المعرف بالجهاز. في حين قامت التطبيقات الأخرى باستخدام هذه المهمة عن طريق الإعلانات، أو تعقب مكتبة البرمجيات.
ويقول إيغل إن «هنالك إمكانية أن تقوم شركات ليست شرعية تماما في تجميع سير شخصية عن مستخدمي هذه الأجهزة. والرمز المعرف هنا ليس مرتبطا باسم المستخدم، لكن يمكن ربطه بحساب مسجل في (فيس بوك)، وهذا من شأنه أن يوفر الكثير من المعلومات عن المستخدم، بما في ذلك اسمه الحقيقي» في غالب الأوقات.
وتقوم «أبل» التي احتفلت أخيرا بتنزيل 10 مليارات نسخة من تطبيقاتها في مخزن التطبيقات بتمحيص وتدقيق هذه التطبيقات، كما تشترط على مطوريها طلب تخويل بغية الدخول إلى بيانات المستخدم. لكن لا يعرف سوى القليل عن كيفية قيام الشركة بالكشف على كل تطبيق.
ويقول شارلي ميلر الخبير في أمن هواتف «آي فون»، والمحلل الرئيسي في «إنديبيندنت سيكيورتي إيفاليوويترز»: «إنك قد لا تعرف تماما ما تقوم به هذه التطبيقات. فمصدرها ليس المطورين الكبار بل المطورين العاديين». ويضيف في حديث لمجلة «تكنولوجي ريفيو» أن «آي فون» يقوم أوتوماتيكيا بتحديد ما تستطيع هذه البرامج أن تقوم به عن طريق ما يسمى «ساندبوكس» sandbox، غير أن هذه القيود ليست شديدة بما فيه الكفاية، مما يعني أنه ليس من الصعب بتاتا جمع معلومات شخصية. فـ«ساندبوكس» هذا ليس صارما جدا، على حد قوله.
وقام الباحثون الأربعة بتحليل 825 تطبيقا متوفرا مجانا في مخزن تطبيقات «أبل»، و582 تطبيقا في مستودع «سيديا»، وهو خدمة توفر البرمجيات للمستخدمين الذين قاموا بنزع إجراءات «أبل» الأمنية من هواتفهم، وهي عملية تعرف بـ«الهروب من السجن».
* خرق الخصوصيات
* ويعرف إيغل ورفاقه خرق الخصوصيات على أنها حادثة بحيث يقوم البرنامج بقراءة بيانات حساسة من عناوين، وأرقام هاتفية، ومعلومات عن حسابات البريد الإلكتروني، من جهاز ليرسلها عبر الإنترنت، من دون استئذان صاحبها. لكن هؤلاء الباحثين لم تتسن لهم وسيلة لمعرفة ما إذا كان المستخدم هذا قد جرى خداعه لكي يأذن بذلك.
ويعلق إيغل على ذلك بقوله «إن وصف مفهوم (الحفاظ على الخصوصيات) الذي خرجنا به، هو رغبتنا في عدم استخلاص بيانات حساسة من جهاز جوال من دون معرفة مستخدمه. ولكننا لا نستطيع معرفة إن كان القصد من ذلك سيكون خبيثا أم لا».
وطور هؤلاء الباحثون برنامجا لاختبار مهمة كل برنامج، وتقرير ما إذا قام بجمع وإرسال معلومات حساسة من دون تبليغ مستخدم الجهاز. كما توجب عليهم فك الرموز الخاصة في كيفية قيام بعض التطبيقات المعينة بالعمل عن طريق معلومات محددة فقط.
ويضيف إيغل أن البحث أظهر أمرا مهما وهو أن التطبيقات من «مخزن أبل» كانت الأكثر احتمالا للوصول خلسة إلى بيانات المستخدم، من تطبيقات مستودع «سيديا» غير المحكومة أو المقيدة.
ويضيف ميلر أنه يتوجب على «أبل» أن تحسن عمليات تفحص وتدقيق تطبيقاتها، «لأنه لا يوجد حل سهل لهذه المشكلة، لكن وجود مركز للحلول، الموجود لدى (أبل) أيضا، هو أفضل سبيل إلى ذلك، لكن من المحتمل أن (أبل) لا تستخدمه حاليا بصورة جيدة».