عشرات تطبيقات أندرويد الشهيرة تسرب بيانات المستخدمين الحساسة

كشفت مجموعة من الباحثين من مجموعة البحث والتعليم الالكتروني في جامعة نيو هافين، ثغرات في تطبيقات معروفة لأندرويد، تشمل انستاجرام وفاين واوكيبيد وغيرها الكثير. وتستطيع هذه الثغرة اختراق البيانات الحساسة

كشفت مجموعة من الباحثين من مجموعة البحث والتعليم الالكتروني في جامعة نيو هافين، ثغرات في تطبيقات معروفة لأندرويد، تشمل انستاجرام وفاين واوكيبيد وغيرها الكثير. وتستطيع هذه الثغرة اختراق البيانات الحساسة لما يقارب ٩٦٨ مليون مستخدم ممن قاموا بتحميل تطبيقات مصابة على أجهزة أندرويد الخاصة بهم.

وأبلغ زميلي كريس بروك من ثريت بوست بأن معظم المشاكل التي وجدها فريق الباحثين ضمن مقاطع فيديو يوتيوب، تنتج من تخزين محتوى غير مشفرعلى الخوادم التي تتحكم بالتطبيقات المصابة.

“بالرغم من أن هذه البيانات المنتقلة عبر التطبيقات كان يجب أن تنتقل بأمان من شخص إلى آخر، إلا أننا وجدنا إمكانية عرض الاتصالات الخاصة من قبل الآخرين بسبب عدم تشفير البيانات، وعدم علم المستخدم بذلك”

“أي شخص استخدم أو ما زال يستخدم التطبيقات المجربة فإنه يعرض نفسه لخطر اختراق البيانات، بما يتضمن كلمات المرور في بعض الحالات”. يقول إيب باجيلي، الأستاذ المساعد في علم الحاسوب في كلية UNH Tagliatela للهندسة، ورئيس cFREG.

ومن ناحية ثريت بوست، فقد كانت خاصية الرسائل المباشرة في انستاجرام تسرب الصور المشاركة بين المستخدمين، إضافة إلى الصور السابقة التي تم تخزينها ضمن نص فارغ على خوادم انستاجرام. كما تمكن الباحثون من استشعار كلمات رئيسية معينة على HTTP، مما أتاح لهم عرض بيانات محددة تمت مشاركتها بين مستخدمي موقع المواعدة الالكتروني المعروف، اوكيبيد. حيث تضمن تطبيق فيديو دردشة يدعى ooVoo نفس الثغرات الموجودة على التطبيق المباشر في انستاجرام. وقد ناقشنا مشكلة نقص التشفير في انستاجرام على مدونة كاسبرسكي في السابق.

 

كما تضمنت ثلاثة تطبيقات مكالمات ورسائل مجانية هي تانجو ونيمبز وكيك مشاكل سمحت للباحثين بعرض الصور، والمواقع ومقاطع الفيديو. كما تم ضبط نيمبز وهو يقوم بتخزين كلمات مرور المستخدمين ضمن نص فارغ.

 

وترسل كل من تطبيقات ميت مي، مسج مي، وتيكست مي معلومات في نص فارغ وغير مشفر، والتي تمنح المهاجم القدرة على مراقبة اتصالات المستخدمين لهذه التطبيقات على شبكة محلية. كما يمكن مراقبة الصور المرسلة والمتلقاة، ونقاط المواقع التي تمت مشاركتها ضمن نص فارغ على هذه التطبيقات. كما تمكن الباحثون من عرض ملف قاعدة بيانات تيكست مي، والذي قام بتخزين بيانات الدخول ضمن نص فارغ.

 

كما واجهت تطبيقات جريندر وهي واير وهايك وتيكست بلس نفس المشاكل تقريباً. حيث تمكن المهاجمون باستخدام وسائل تقليدية مثل واير شارك من اختراق الرسائل والصور والمواقع المشاركة. وإضافة إلى ذلك، فقد بقيت الصور المرسلة عبر جريندر وهي واير وتيكست بلس على خوادم التطبيقات ضمن نص فارغ، ومتاحة للدخول لأسابيع.

“تمكننا من الدخول إلى ملفات أندرويد احتياطية لتيكست بلس باستخدام هيليوم باك اب، وهي خدمة نسخ احتياطية من أندرويد”. قال أحد الباحثين، “وعندما قمنا بفتحها، لاحظنا وجود لقطات صور لنشاطات المستخدمين والتي لم نلتقطها، ولا نعرف الغرض من هذه الصور، ولماذا يتم تخزينها على الجهاز”.

 

وفي الفيديو الأخير، اطلع الباحثون على محتوى البيانات الحساسة المخزن في التطبيقات. حيث خزنت كل من تيكست بلس ونيمبز وتيكست مي وساي هاي و ooVoo وكيك وهايك وماي تشات و وي تشات وهي واير وجروب مي ولاين وويسبر وفاين وفيكسر و ووردذ ويذ فرندز سجلات للدردشة ضمن نص فارغ.

 

“بالرغم من أن هذه البيانات المنتقلة عبر التطبيقات كان يجب أن تنتقل بأمان من شخص إلى آخر، إلا أننا وجدنا إمكانية عرض الاتصالات الخاصة من قبل الآخرين بسبب عدم تشفير البيانات، وعدم علم المستخدم بذلك”. قال باجيلي.

وحاول الباحثون إعلام مبرمجي التطبيقات حول هذه الاستفسارات، إلا أن الطريقة الوحيدة أمامهم كانت نماذج الاتصال بالدعم، دون الحصول على أي وسيلة مباشرة للاتصال بالمبرمجين. وقال إيب باجيلي في رسالة الكترونية بأنه لم يكن على علم بقيام المزودين بإصلاح هذه المشاكل أم لا.

وقد تواصلنا مع انستاجرام للحصول على تأكيد، إلا أن الشركة لم ترد بعد على طلبنا.

ولا يبدو واضحاً ما إذا كان المبرمجون يخططون لإصلاح المشاكل المذكورة هنا أم لا.

ومن ناحية أخرى، تواصلت CNET مع انستاجرام، حيث قالت انستاجرام بأنها بصدد إجراء تشفير كامل على هذا التطبيق، مما سيؤدي بدوره لحل المشاكل. وقال كيك بأنها تعمل لتشفير الصور المشاركة بين المستخدمين، ولكنها لن تقوم بتشفير سجلات الدردشة، لأن هذه السجلات معزولة ولا يمكن دخولها بين التطبيقات على الهاتف. ويدعون بأن هذه النوعية من تخزين البيانات هي أساس الصناعة. وقال جريندير بأنها تراقب التقارير الأمنية، وتقوم بإجراء التغييرات وفقاً لها.

نصيحة الأسبوع: كيف تبعد أطفالك عن جهاز الكمبيوتر؟

يواجه الكثير من الأباء مشاكل مع أبنائهم نتيجة قضائهم ساعات طويلة بلعب الالكترونية أو الدردشة على مواقع التواصل الاجتماعي، بدلاً من استغلال هذه الأوقات في الدراسة أو اللعب خارجاً. وبالتالي،

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!