ما قصة الفيروسات الإعلانية على الأندرويد؟

في معظم الحالات، لا تكون تطبيقات أندرويد “المجانية” التي تقوم بتحميلها من متجر جوجل بلاي مجانيةً على الإطلاق؛ حيث إن هؤلاء المطورين لا يقومون بتطوير التطبيقات لك من أجل عطف وإحسان قلوبهم عليك. ومثل معظم خدمات الإنترنت التي لا تطالب بالدفع المُقَدَّم التقليدي، فإن الربح النموذجي لتطبيقات الهاتف النقال يعتمد على الدعاية وعمليات الشراء التي تتم داخل التطبيق.

أثناء إجراء عملية التطبيق، غالبًا ما سيختار مُصَمِّم التطبيق – أيًّا كان – بعضًا من المكتبات الدعائية الخارجية ويُرفقهَا بتطبيقه، وبمجرد أن يتم عرض التطبيق في متجر جوجل بلاي، وتبدأ عمليات تحميله من قِبَل مستخدمي أندرويد، ستصبح الشركة الخارجية هي المسؤولة عن عرض الإعلانات ودفع أجور مطوري التطبيق.

ولا يمتلك المُطَوِّر أو المستخدم أي سُلطة تَحَكُّمٍ وسيطرةٍ حيال ما تعرضه هذه المكتبة الدعائية، من حيث نوع المعلومات التي تقوم هذه المكتبة بجمعها وتُدَعِّمُهَا الإعلانات، أو كيفية تفاعلها مع أجهزة المستخدمين. وتتميز بعض المكتبات الدعائية بالاستقامة والأمانة والمسؤولية بشكلٍ مثالي، بينما يميل البعض الآخر إلى التضليل والخداع والتهور.

وتفتخر إحدى هذه المكتبات الدعائية المعروفة والمنتشرة على نطاقٍ واسعٍ على نظام تشغيل أندرويد التابع لجوجل، بأن لديها حفنةً من الميزات والسمات الكثيرة والمتطفلة؛ حيث تحتوي على عددٍ كبيرٍ من الثغرات الأمنية الحيوية مما يجعلها عُرضَةً للاستغلال، وأنها قد تم تحميلها في التطبيقات أكثر من 200 مليون مرة. لذلك، يُعَد التهوُّر هو السمة الرئيسية والسلوك الأساسي لهذه المكتبة على وجه الخصوص، والتي قام بتحليلها باحثون من شركة FireEye، الذين لم يذكروها حتى بالاسم، وبدلًا من ذلك اكتفوا بالإشارة إليها من خلال مصطلح “Vulna”، وهو عبارةٌ عن مزيجٍ بين كلمتين تصفان المكتبة على النحو الأفضل، وهما: ضعيف وعدواني(vulnerable and aggressive).

ولا يمتلك المُطَوِّر أو المستخدم أي سُلطة تَحَكُّمٍ وسيطرةٍ حيال ما تعرضه هذه المكتبة الدعائية

ومثل العديد من المكتبات الدعائية، تمتلك Vulna القدرة على جمع معلوماتٍ حساسةٍ مثل محتويات الرسائل النصية، وتاريخ المكالمات، وقوائم جهات الاتصال. وبالإضافة إلى ذلك، تستطيع أيضًا إعلانات Vulna هذه تنفيذ الرموز البرمجية المُحَمََّلَة (التي تُعرَف أيضًا باسم “تثبيت المواد”) على أجهزة أندرويد، التي يتم تثبيت التطبيقات التابعة لها في هذه الأجهزة، مما يدعو إلى مزيدٍ من القلق.

وما هو أسوأ من ذلك حتى الآن، هو القائمة الطويلة من الثغرات الأمنية التي تؤثر على الخدمة الدعائية التي تقدمها Vulna، مما يعني أن القراصنة الذين يشنون هجماتهم عن بُعدٍ يستطيعون استغلال أي عددٍ من الأخطاء البرمجية، والسيطرة على أيٍّ من ميزات الشبكة الدعائية، واستخدامها بشكلٍ ضارٍّ ضد المستخدم الذي يملك جهازًا موجودًا عليه Vulna. وبعبارةٍ أخرى، يُعَد هذا الأمر هو السبب في أن شركة FireEyeلا تقوم بالتصريح العلني باسم الشبكة؛ لأنه بذلك سوف تصبح الملايين من الأجهزة، التي تقوم Vulna بالدعاية والإعلان عليها، عُرضَةً لمجموعةٍ واسعةٍ من الهجمات على المستوى النظري.

يجب أن نضع في الاعتبار بعض الأمور الأخرى بجانب الثغرات الأمنية؛مثل عدم وجود تشفيرٍ للبيانات التي تسري في كلا الاتجاهين بين خوادم Vulna وأجهزة المستخدم النهائي؛ حيث يستطيع المهاجم المُطَّلع والخبير أن يقوم نظريًّا بأيٍّ من الأفعال السيئة التالية:

 -سرقة الرموز ذات العاملين المُرسَلَة عَبْر خدمة الرسائل القياسية(SMS)،ورؤية الصور والملفات المُخَزَّنَة.

-تثبيت التطبيقات والرموز الخبيثة على الشاشة الرئيسية.

– حذف الملفات والبيانات، وانتحال شخصية المالك الحقيقي للهاتف لأغراض التَّصَيُّد وغيرها من الأغراض.

– حذف الرسائل النصية الواردة،وإجراء المكالمات الهاتفية، واستخدام الكاميرا سرًّا.

– تغيير العناوين المُفضّلة لكي تشير إلى المواقع الخبيثة.

وتشتمل الاحتمالات الضارة الأخرى على خاصية التنصُّت على الأجهزة المصابة عبر شبكة الوايفاي العامة، وتثبيت البرامج الخبيثة الخاصة بالبوتنت، واختراق خوادم نظام النطاق (DNS)الخاصةبـ (Vulna)؛حيث يسمح ذلك للمهاجم بأن يُعيد توجيه حركة المرور الخاصة بشبكة الإعلانات بعيدًا عن المَوْضِع الذي من المفترض أن تذهب إليه، وأن يوجهها في اتجاه الموقع الذي يرغب في السيطرة عليه، وهو ما حدث مؤخرًا في الهجوم على موقعيْ تويتر وصحيفة نيويورك تايمز، والذي تم الإعلان عنه على نطاقٍ واسع.

ومما زاد الأمر سوءًا، أنه من الصعب بالنسبة للمستخدم أن يعرف حتى إذا كان لديه تطبيق مُثَبَّت على هاتفه وذو صلة بـ Vulna؛ وذلك بسبب الطريقة التي يتلقى بها أوامر HTTP من الخادم المتحكم؛ حيث يكون الرمز سريًّا وغامضًا (على العكس من المصدر المفتوح)، وهذا يعني أن مصممي الرمز هم المسموح لهم فقط بفحصه ومعاينته، وبشكلٍ عام من الصعب أن نعرف ماهية الشبكة الدعائية في أي وقتٍ من الأوقات.

لحُسن الحظ، كانت شركة FireEye أكثر وضوحًا حول الهوية الحقيقية لـ Vulna عندما اتصلوا بجوجل وبالشركة المسؤولة عن المكتبات الدعائية Vulna. وبالأمس فقط، أعلنت شركة FireEye أن كلًّا من جوجل والشركة المسؤولة قد قامتا بإجراء عددٍ من التغييرات الإيجابية؛ حيث حذفت جوجل عددًا من التطبيقات التي تسيء استخدام هذه السلوكيات بشكلٍ فاضحٍ للغاية، وألغت حسابات المطور المسؤول عنها، وقام العديد من المطورين بتحديث تطبيقاتهم للتخلص من إصدار Vulna المتطفل والدخيل، بينما قرر الآخرون إسقاط Vulna تمامًا.

ولسوء الحظ، لا يُثَبِّت العديد من مستخدمي أندرويد تحديثات التطبيقات، وبالتالي ستبقى عُرضَةً لهذا الخطر. في الواقع، تُشير تقديرات شركة FireEye إلى أن 166 مليونًا من التحميلات مازالت تحتوي على الإصدار السيئ من Vulna.

من الواضح أننا نوصي بأنه يجب على الجميع تثبيت التحديثات؛ لأنك إذا رفضت تثبيت التحديثات فلن يستطيع أي شخصٍ مساعدتك، وأنت أيضًا بحاجةٍ إلى أن تعرف الكثير عن البرامج الدعائية. وقد تبدو إصدارات التطبيقات مدفوعة الأجر مثل هدر وتبديد المال في حالة وجود تطبيقات مجانية تخدم نفس الغرض، إلا أن الحقيقة المُرة هي أنه لا يوجد شيءٌ مجاني. فمعظم ما يُسَمَّى تطبيقات “مجانية” تكون مُدَعَّمَة بالإعلانات والدعاية كما هو واضحٌ تمامًا في حالة Vulna، وأنه غالبًا ما يكون من المستحيل أن نعرف على وجه اليقين حقيقة هذه المكتبات وكيف يتم الحفاظ عليها.

تَخَيَّل للحظةٍ أن المهاجم كان على وشك أن يخترق خوادم نظام النطاق (DNS)الخاصة بـ Vulna، وإعادة توجيه كل نقراته إلى موقعٍ يستضيف سرقة بيانات الاعتماد وبرامج تروجان المصرفية. حينئذٍ  من المحتمل أن يتم اختراق الحسابات المصرفية لملايين المستخدمين.

من المؤكد أن التكاليف، سواءٌ من حيث الوقت والمال ـ المرتبطة باستعادة واسترداد الحساب المصرفي سوف تتجاوز الدولارين اللذين يمثلان تكلفة استخدام التطبيق غير المُدَعَّم بالإعلانات في المقام الأول. بالطبع، لا تُعَد التطبيقات مدفوعة الأجر متاحةً أو في متناول اليد بشكلٍ دائم. وعلى أقل تقدير، اقرأ وراقب باستمرارٍالاتفاقيات والأذونات الموجودة في التطبيقات التي قمت بتحميلها، وعَطَّل تثبيتات الجهة الخارجية كلما كان ذلك ممكنًا.