ثغرات فيس بوك أندرويد الأمنية تُمَكِّن التطبيقات من سرقة رمز تحقق المستخدم

  اكتشف أحد الباحثين ثغراتٍ أمنيةً خطيرةً في تطبيق فيس بوك الرئيسي؛ حيث توصل إلى أن تطبيق المحادثة فيس بوك ماسنجر الخاص بأجهزة الأندرويد، تُمَكِّن أي تطبيقاتٍ أخرى على الجهاز

 

اكتشف أحد الباحثين ثغراتٍ أمنيةً خطيرةً في تطبيق فيس بوك الرئيسي؛ حيث توصل إلى أن تطبيق المحادثة فيس بوك ماسنجر الخاص بأجهزة الأندرويد، تُمَكِّن أي تطبيقاتٍ أخرى على الجهاز من الحصول على رموز التحقق على حساب المستخدِم في فيس بوك، ومن ثم السيطرة والاستيلاء على هذا الحساب. كما اكتشف هذا الباحث ثغرةً مشابهةً منفصلةً في تطبيق إدارة صفحات الفيس بوك على الأندرويد، وهو برنامجٌ يسمح للمُدراء والمشرفين بإدارة حساباتٍ متعددةٍ لموقع التواصل الاجتماعي فيس بوك. كما يُمَكِّن هذا الخلل وتلك الثغرة الأمنية الخطيرة، التطبيقات الأخرى من الحصول على رموز التحقق الخاصة بالمستخدم.

تم اكتشاف هذه الثغرات الأمنية في وقتٍ سابقٍ من العام الحالي بواسطة الباحث محمد رمضان، الذي يعمل لدى “أتّاك سكيور”؛ حيث قام بنشرها على الفيس بوك، وحصل على جائزةٍ قدرها 6,000 دولار من برنامج جوائز الكشف عن الثغرات الأمنية. يقول رمضان: “تكمن الثغرة الأمنية الأولى في الطريقة التي يتعامل بها تطبيق فيس بوك الرئيسي، وتطبيق المحادثة فيس بوك ماسنجر مع رموز تحقق المستخدم، التي تُعتبر مفتاح الدخول على حساب فيس بوك. وقد تسمح هذه الثغرة الأمنية للبرامج الخبيثة بالحصول على رمز التحقق المُخَزَّن على جهاز المستخدم، ومن ثم اختراق حسابه”.

وأضاف رمضان في أحد تدويناته التي يوضح خلالها سيناريو عملية الاستغلال: “تخيل معي هذا السيناريو: أنك أحد مستخدمي موقع التواصل الاجتماعي فيس بوك، وتمتلك جهاز هاتف/ لوحي أندرويد، وقمت بتثبيت تطبيق فيس بوك الرئيسي وبرنامج المحادثة فيس بوك ماسنجر للأندرويد، وحدث أن وصلتك رسالة من أحد الأصدقاء أو أحد الأشخاص على فيس بوك، فالطبيعي أنك ستقوم بفتح الرسالة لتقرأها، وحينها ستجد مُرفقًا يبدو أمامك وكأنه فيلم، أو مستند، أو صورة، أو أي نوعٍ من تلك الملفات التي يمكن أن تُرفق مع رسائل الفيس بوك”.

“وبالتالي، قمت أنت بالضغط على الملف لتحمّله، في نفس الوقت الذي تسرب فيه رمز التحقق الخاص بك على فيس بوك لأداة لوجكات المُثبتة على جهاز الأندرويد ـ الأمر الذي يعني أن أي تطبيقٍ على الأندرويد يمكنه قراءة والحصول على هذا الرمز خِلسة، ومن ثم سرقة حسابك واختراقه “.

“في حال عدم معرفتك بالـ لوجكات، فدعني أصفها وأوضحها لك؛ حيث إنها عبارةٌ عن أداةٍ مثبتةٍ على جميع أجهزة الأندرويد؛ لجمع سجل الرسائل من جميع التطبيقات المثبتة على الجهاز نفسه”.

يقول رمضان: “إن رمز التحقق الخاص بفيس بوك لا تنتهي صلاحيته، وهذا يعني أن الخطر سيظل إلى ما لا نهاية، ما لم يقم المستخدم بتحديث تطبيقاته على فيس بوك؛ لتصحيح وإصلاح هذه الثغرة الأمنية”.

تتمثل الثغرة الأمنية الثانية في تطبيق إدارة صفحات فيس بوك بأجهزة الأندرويد، والذي صُمم بهدف تقديم المساعدة للمستخدمين؛ كي يصبح في إمكانهم إدراة عددٍ من الحسابات المختلفة. هذا التطبيق الذي تم تثبيته لأكثر من 10 مليون مرة، يعاني من نفس العيوب والثغرات الأمنية الموجودة في تطبيق فيس بوك الرئيسي، والتي تسمح للتطبيقات الخبيثة والضارة بالحصول على رمز التحقق الخاص بفيس بوك، لكن في مثل هذه الحالة، لا يحتاج المستخدم لتحميل أو تشغيل أي رمزٍ من أي مكانٍ آخر.

أيضًا، تم تصحيح ومعالجة هذه الثغرة الأمنية، ويقول رمضان عن ذلك: “إنه ينبغي على المستخدمين تحديث تطبيقاتهم في الحال؛ لحمايتها من الهجمات”. وكان رمضان قد اكتشف في وقتٍ سابقٍ من هذا العام أحد الثغرات الأمنية في تطبيق فيس بوك الرئيسي، وبرنامج المحادثة فيس بوك ماسنجر ـ الأمر الذي سمح لأحد المهاجمين بالدخول على حساب مستخدمٍ وتحميل صُوَره.

أندرويد الضعيف وإهمال المستخدمين

أصبح مفهوم BYOD “أحضر جهازك الخاص” مصدرًا للمشاكل بالنسبة لمُدراء النظام الذين أُضطروا مؤخرًا وبشكلٍ نسبي إلى التعامل مع البرامج الخبيثة بعددٍ وتَنَوُّعٍ متزايد لا يمكن السيطرة عليه. ويتفاقم الوضع

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!