فبراير 9, 2017

كل المعلومات عن صلاحيات تطبيقات أندرويد

أمن الخصوصية النصائح

في مواجهة البرامج الخبيثة، يحتفظ نظام أندرويد (Android) بآلية دفاع جيدة جداً وهي نظام صلاحيات التطبيق؛ حيث يحدد النظام مجموعة من الإجراءات التي يسمح هذا التطبيق (أو لا يسمح) بتنفيذها. بطبيعة الحال تعمل كل تطبيقات أندرويد “Android” في محيط معزول باستخدام آلية ساند بوكس “sandbox”، فإذا أرادت الوصول أو تعديل أو حذف بيانات خارج ساند بوكس “sandbox”، فإنها بحاجة إلى إذن من النظام للقيام بذلك.

وتنقسم الصلاحيات إلى عدة فئات، ولكننا سوف نتطرق إلى مناقشة اثنين فقط منها: الصلاحيات العادية والحرجة. تشتمل الصلاحيات العادية على إجراءات مثل الدخول على الإنترنت وإنشاء أيقونة واتصال البلوتوث وما شابه ذلك، وتتوفر هذه الصلاحيات بطبيعة الحال ولا تستلزم موافقة المستخدم.

إذا كان أحد التطبيقات يتطلب الحصول على أحد الصلاحيات “الحرجة” فلا بد من الحصول على موافقة المستخدم، فلماذا تعد بعض الصلاحيات حرجة؟ هل هي حرجة بطبيعتها في الواقع؟ وفي أي حالة يتعين عليك إعطاؤها؟

الصلاحيات الحرجة:

تشمل الفئة “الحرجة” تسع مجموعات من الصلاحيات حيث تتصل التطبيقات نوعاً ما بخصوصية المستخدم وأمنه، وتحتوي كل مجموعة بدورها على عدة صلاحيات قد يطلبها التطبيق.

إذا وافق المستخدم على أحد هذه الصلاحيات، يحصل التطبيق على كل الصلاحيات من نفس المجموعة تلقائياً دون الحاجة إلى تأكيد إضافي. فعلى سبيل المثال؛ إذا حصل التطبيق على إذن لقراءة الرسائل النصية القصيرة فمن ثم سيكون قادراً أيضاً على إرسال الرسائل النصية القصيرة وقراءة رسائل الوسائط المتعددة وإجراء العمليات الأخرى الخاصة بهذه المجموعة.

التقويم:

يسمح بما يلي:

  • قراءة الفعاليات المُخَزَّنة في التقويم (READ_CALENDAR).
  • تعديل الفعاليات القديمة وإنشاء أخرى جديدة (READ_CALENDAR).

لماذا يعد ذلك حرجاً: إذا كنت تستخدم المخطِّط اليومي الرقمي الخاص بك بشكل فعَّال، فإن التطبيق يعرف كل شيء عن برنامجك اليومي وربما يشاركه مع مرتكبي جرائم الإنترنت. وبالإضافة إلى ذلك؛ فإن التطبيقات المشوبة بالأخطاء يمكن أن تحذف عن طريق الخطأ اجتماعات مهمة من التقويم الخاص بك.

الكاميرا:

يسمح بما يلي:

  • إتاحة الوصول إلى الكاميرا، حيث يُسمح للتطبيق باستخدام الهاتف الخاص بك من أجل التقاط الصور وتسجيل مقاطع الفيديو.

لماذا يعد ذلك حرجاً: يمكن للتطبيق سراً تسجيل مقطع فيديو أو التقاط صور في أي وقت.

أرقام الاتصال:

يسمح بما يلي:

  • قراءة أرقام الاتصال (READ_CALENDAR).
  • تعديل أرقام الاتصال أو إضافة أخرى جديدة (WRITE_CONTACT).
  • الوصول إلى قائمة الحساب (GET_ACCOUNTS).

لماذا يعد ذلك حرجاً: يمكن للتطبيق تعطيل دليل العناوين الخاص بك كاملاً. حيث تكون هذه البيانات موضع جذب بالنسبة للعابثين والمزورين، كما يتيح هذا الإذن الوصول إلى قائمة كل الحسابات التي تستخدمها في التطبيقات على هذا الجهاز مثل جوجل “Google” وفيس بوك Facebook”” وإنستجرام “Instagram” وغيرها.

الموقع:

يسمح بما يلي:

  • الوصول إلى موقعك التقريبي (ACCESS_COARSE_LOCATION) بشرط أن يكون ذلك بالاعتماد على البيانات الصادرة من المحطات الخلوية للهاتف المتحرك والاتصال اللاسلكي بالشبكة.
  • الوصول إلى موقعك الدقيق (ACCESS_FINE_LOCATION)، بشرط أن يكون ذلك بالاعتماد على بيانات نظام تحديد الموقع.

لماذا يعد ذلك حرجاً: يستطيع التطبيق تحديد موقعك في كل الأوقات. على سبيل المثال، قد يسمح للصوص بمعرفة متى تكون بعيداً عن المنزل.

الميكروفون:

يسمح بما يلي:

  • تسجيل مقاطع صوتية عن طريق الميكروفون (RECORD_AUDIO).

لماذا يعد ذلك حرجاً: يمكن للتطبيق تسجيل كل ما يدور بالقرب من هاتفك وكل المحادثات الخاصة بك، وليس فقط عندما تتحدث على الهاتف ولكن طوال اليوم.

الهاتف:

يسمح بما يلي:

  • قراءة حالة الهاتف (READ_PHONE_STATE) حيث يسمح للتطبيق بمعرفة رقم هاتفك ومعلومات الشبكة الحالية للهاتف وحالة أي مكالمات جارية وما شابه ذلك.
  • إجراء المكالمات (CALL_PHONE).
  • قراءة قائمة المكالمات (READ_CALL_LOG).
  • تعديل قائمة المكالمات (WRITE_CALL_LOG).
  • إضافة بريد صوتي (ADD_VOICEMAIL).
  • استخدام بروتوكول ربط المحادثات الصوتية عبر الإنترنت (VOIP) (USE_SIP).
  • معالجة إذن الاطلاع على المكالمات السابقة (PROCESS_OUTGOING_CALLS) تسمح للتطبيق بمعرفة المُتصل وتعليق المكالمة على الهاتف أو إعادة توجيهها إلى رقم آخر.

لماذا يعد ذلك حرجاً: عندما يتم توفير صلاحيات الهاتف؛ فإنك تسمح للتطبيق باتخاذ أي إجراء يتعلق بالاتصالات الصوتية. ويستطيع التطبيق التعرف على توقيت المكالمات وشخصية مَن تتصل بهم ويمكنه الاتصال بأي مكان بما في ذلك المكالمات المدفوعة على نفقتك الخاصة.

أجهزة استشعار الجسم:

تسمح بما يلي:

  • (BODY_SENSORS) يسمح الإذن بالوصول إلى بيانات الصحة الخاصة بك من بعض أجهزة الاستشعار مثل جهاز رصد معدل ضربات القلب.

لماذا يعد ذلك حرجاً: إذا كنت تستخدم ملحقات تحتوي على أجهزة استشعار للجسم (وليس الهاتف المدمج في أجهزة استشعار الحركة)، فإن التطبيق يستقبل بيانات حول ما يجري في جسمك.

الرسائل النصية القصيرة

تسمح بما يلي:

  • إرسال الرسائل النصية القصيرة (SEND_SMS).
  • قراءة الرسائل النصية القصيرة المحفوظة (READ_SMS).
  • استقبال الرسائل النصية القصيرة (RECEIVE_SMS).
  • استقبال الرسائل التي تحتوي على رابط لتحميل الخدمات (WAP push) (RECEIVE_WAP_PUSH).
  • استقبال رسائل الوسائط المتعددة الواردة (RECEIVE_MMS).

لماذا يعد ذلك حرجاً: يُسمح للتطبيق بتسلُّم الرسائل النصية القصيرة الواردة وقراءتها بالإضافة إلى إرسالها (بالطبع على نفقتك الخاصة). فعلى سبيل المثال، يمكن للمجرمين استخدام هذا الإذن في إشراك الضحايا في خدمات مدفوعة غير مرغوب فيها.

الذاكرة:

يسمح بما يلي:

  • قراءة بطاقة الذاكرة الرقمية وأماكن التخزين الأخرى (READ_EXTERNAL_STORAGE).
  • حفظ السجلات في الذاكرة أو بطاقة الذاكرة الرقمية (WRITE_EXTERNAL_STORAGE).

لماذا يعد ذلك حرجاً: يقرأ التطبيق أو يغير أو يحذف أي ملفات مخزونة على الهاتف الخاص بك.

كيفية إعداد صلاحيات التطبيق:

عليك أن تنظر بعناية لكل إذن قبل الاستجابة إليه. فعلى سبيل المثال، إذا طلبت لعبة أو أداة لتعديل الصور الوصول إلى موقعك الحالي فهذا أمر غريب، ولكن في الوقت ذاته تحتاج الخرائط ومتصفحو الإنترنت إلى بيانات نظام تحديد المواقع ولكنهم لا يحتاجون الوصول إلى قائمة جهات الاتصال أو الرسائل النصية القصيرة.

في نسخة أندرويد 6 وما بعدها، تطلب التطبيقات من المستخدمين الموافقة عندما تحتاج إلى إذن حرج. إذا لم تكن تريد الاستجابة لهم يمكنك رفض الطلب دائماً. وبالطبع إذا كان التطبيق يحتاج إلى هذه الصلاحيات، فسوف تظهر رسائل الخطأ ولن يعمل بشكل صحيح.

تطبيق يطلب الموافقة لمنحه صلاحيات إجراء المكالمات الهاتفية والتحكم بها

يمكنك أيضاً فحص قائمة الصلاحيات وتغيير الصلاحية الخاصة بأي تطبيق. ابدأ باختيار إعدادات ← التطبيقات (يمكن أن تكون لهذه البنود والبنود التالية في القائمة أسماء مختلفة قليلاً في إصدار الأندرويد الخاص بك).

والآن يمكنك اتباع واحدة من طريقتين: الأولى، يمكنك فحص كل الصلاحيات المخصصة لتطبيق بعينه. وللقيام بذلك انقر فوق اسم التطبيق واختر الصلاحيات.

والثانية، يمكنك البحث في قائمة التطبيقات الكاملة والتي طلبتها بالفعل أو يمكنها أن تطلب أحد تلك الصلاحيات الحرجة. فعلى سبيل المثال، من الجيد التحقق من معرفة أي تطبيق يحتاج الوصول إلى قائمة جهات الاتصال الخاصة بك وحظر التطبيقات المشبوهة من الوصول إليها؛ ولذلك اختر إعداد التطبيقات (أيقونة على شكل ترس في أعلى الزاوية اليمنى) ثم انقر فوق أذونات التطبيق.

حقوق الوصول الخاصة:

وبصرف النظر عن الصلاحيات الحرجة، يمكن لأي تطبيق طلب حقوق الوصول الخاصة. وعندما يحدث ذلك عليك أن تكون حذراً: حيث عادةً ما يطلب فيروس حصان طروادة “Trojans” هذه الحقوق.

إمكانية الوصول:

يساعد هذا الإذن في سهولة العمل مع التطبيقات والأجهزة بالنسبة للأشخاص الذين يواجهون صعوبات في الرؤية والسمع، تسيء البرامج الخبيثة استخدام هذه المزايا.

عند الحصول على حقوق الوصول هذه، يعترض فيروس حصان طروادة البيانات من التطبيقات (بما في ذلك النص المُدخَل، وتكون كلمات السر هي الهدف الرئيسي هنا). بالإضافة إلى ذلك، تصبح البرامج الخبيثة قادرة على شراء التطبيقات في متجر جوجل بلاي “Google Play Store”.

تطبيق تبادل الرسائل الافتراضي:

تستهدف فيروسات حصان طروادة في الأنظمة المصرفية أن تصبح على هيئة تطبيق رسائل نصية افتراضي مما يسمح لها بقراءة الرسائل النصية القصيرة وإخفائها حتى في أحدث إصدارات أندرويد “Android”. على سبيل المثال، يستخدم فيروس حصان طروادة هذه الخاصية لاعتراض كلمات السر في الأنظمة المصرفية من الرسائل النصية القصيرة وتأكيد المعاملات الضارة دون معرفة المستخدم (تذكر أنه يستطيع إخفاء الرسائل النصية القصيرة).

دائما في القمة:

يتيح إذن إحلال نوافذ التطبيقات الأخرى لفيروس حصان طروادة بعرض نوافذ التصيُّد في أعلى التطبيقات المشروعة (التي تكون غالباً التطبيقات الخاصة بالبنوك على الهاتف المتحرك، أو تطبيقات شبكات التواصل الاجتماعي). ويعتقد الضحايا أنهم يُدخلون كلمات المرور الخاصة بهم في نماذج التطبيقات الفعلية، ولكن في الواقع يحدث كل شيء في نافذة وهمية يتم عرضها بواسطة فيروس حصان طروادة، وبذلك يستطيع مجرمو الإنترنت الحصول على البيانات الحسَّاسة.

امتيازات المسؤول عن الجهاز:

تتيح هذه الحقوق للمستخدم تغيير كلمة السر، وإغلاق الكاميرا أو مسح جميع البيانات الموجودة على الجهاز. وتحاول التطبيقات الخبيثة في كثير من الأحيان الحصول على هذه الصلاحيات. ويصعب إلغاء تثبيت تلك التطبيقات في وجود امتيازات المسؤول.

الامتيازات الأصلية:

وتعد تلك الصلاحيات أكثر خطراً. بطبيعة الحال، لا يمنح تطبيق أندرويد “Android” تلك الحقوق إلى التطبيقات مطلقاً، ولكن بعض فيروسات حصان طروادة تتمكن من استغلال الثغرات الأمنية في النظام للحصول على تلك الحقوق. وعندما يحدث ذلك، تصبح جميع برامج الحماية الأخرى عديمة الفائدة وتتمكن البرامج الخبيثة من استخدام الامتيازات الأصلية لتفعل ما تشاء بغض النظر عن الصلاحيات التي يُعطيها الضحية أو يرفضها. جدير بالذكر أنه حتى نظام الصلاحيات الجديد (الذي تم إصداره في نسخة أندرويد “Android” 6) لا يحمي بشكل تام من البرامج الخبيثة. فعلى سبيل المثال، يطلب فيروس GugiHYPERLINK “https://securelist.com/blog/mobile/75971/banking-trojan-gugi-evolves-to-bypass-android-6-protection/” Trojan مراراً من الضحايا الإذن عن طريق طلبات الحصول على إذن إحلال النافذة حتى يتم منح الإذن له. بعد ذلك، تقوم البرامج الخبيثة بإحلال جميع التطبيقات الأخرى حتى تتلقى الأذونات الأخرى التي تريدها.

الخلاصة:

لا تسمح للتطبيقات بفعل أي شيء أياً كان على هاتفك – وخاصة إذا كانت تطلب صلاحيات حرجة بدون سبب.

ورغم ذلك، تحتاج بعض التطبيقات حقاً إلى الكثير من الحقوق. على سبيل المثال، تحتاج برامج الحماية من الفيروسات إلى الكثير من الصلاحيات لفحص النظام وحمايته من التهديدات بشكل مسبق. والنتيجة هنا بسيطة: فكر قليلاً قبل منح أي حقوق معينة، فيما إذا كان التطبيق يحتاج حقاً لتلك الحقوق أم لا. وإذا لم تكن متأكداً من ذلك، فتحقق منه عبر الإنترنت.

وأخيراً وليس آخراً: فإن أكثر المستخدمين حذراً لا يعد في مأمن من استغلال البرامج الخبيثة للثغرات الأمنية في النظام. ويعد هذا هو السبب وراء أهمية إدارة صلاحيات الخاصة بك على النحو الصحيح، مما يساعد في حماية خصوصيتك من تطبيقات التجسس، وتثبيت تطبيق أمني موثوق به من شأنه حماية جهازك ضد أكثر الفيروسات خطورة مثل فيروس حصان طروادة وغيره من الفيروسات الأخرى.