العربية
الخط الساخن للخدمة
يمكن للمطوّرين إدخال إعلانات منبثقة مزعجة أو هجمات تصيّد احتيالي في تطبيقات الأجهزة المحمولة عبر عيب في تصميم نظام أندرويد، وفقًا لباحثين. لاس فيجاس – اكتشف باحثون ما يقولون إنه عيب في تصميم نظام أندرويد يمكن أن يستخدمه المجرمون لسرقة البيانات عبر التصيد الاحتيالي أو من قبل المعلنين لجلب إعلانات منبثقة مزعجة إلى الهواتف. قال نيكولاس بيركوكو، نائب الرئيس الأول ورئيس SpiderLabs في شركة Trustwave، قبل عرضه البحث في مؤتمر القراصنة DefCon اليوم، إن المطورين يمكنهم إنشاء تطبيقات تبدو غير ضارة ولكن يمكنها عرض صفحة تسجيل دخول مزيفة لتطبيق مصرفي على سبيل المثال، عندما يستخدم المستخدم تطبيقًا مصرفيًا شرعيًا. وفي الوقت الحالي، فإن التطبيقات التي ترغب في التواصل مع المستخدم أثناء عرض تطبيق مختلف، تكتفي بإرسال تنبيه إلى شريط الإشعارات أعلى الشاشة. ولكن هناك واجهة برمجة تطبيقات في مجموعة أدوات تطوير البرمجيات في أندرويد يمكن استخدامها لدفع تطبيق معين إلى المقدمة، كما قال. “قال شون شولت، مطور طبقة مآخذ التوصيل الآمنة (Secure Sockets Layer) في شركة Trustwave: “يتيح لك نظام أندرويد تجاوز معيار (الضغط) على أزرار الرجوع إلى الخلف. وقال بيركوكو: “وبسبب ذلك، فإن التطبيق قادر على سرقة التركيز ولا يمكنك الضغط على زر الرجوع للخروج”، مضيفًا أنهم أطلقوا على المشكلة اسم ثغرة سرقة التركيز. وقد أنشأ الباحثون أداة لإثبات صحة المفهوم وهي عبارة عن لعبة ولكنها تؤدي أيضًا إلى تشغيل شاشات وهمية لفيسبوك وأمازون وجوجل فويس وعميل البريد الإلكتروني لجوجل. وقال بيركوكو إن الأداة تقوم بتثبيت نفسها كجزء من حمولة داخل تطبيق شرعي وتسجل كخدمة بحيث تعود للعمل بعد إعادة تشغيل الهاتف. وفي عرض توضيحي يُظهر مستخدمًا يفتح التطبيق ويرى شاشة تسجيل الدخول إلى فيسبوك، فإن الإشارة الوحيدة التي تشير إلى حدوث شيء غريب هي ومضة شاشة سريعة جدًا لن يلاحظها الكثير من المستخدمين. تحل الشاشة المزيفة محل الشاشة الشرعية تمامًا، لذا لن يتمكن المستخدم من معرفة أن هناك شيئًا ما في غير محله. وقال بيركوكو إنه مع هذا العيب في التصميم، يمكن لمطوري الألعاب أو التطبيقات إنشاء إعلانات منبثقة مستهدفة. وأضاف أن هذه الإعلانات يمكن أن تكون مزعجة فقط، مثل معظم النوافذ المنبثقة، ولكن يمكن أيضًا أن تكون مستهدفة لظهور إعلان عند استخدام تطبيق منافس. وقال بيركوكو، الذي قام مع كريستيان باباثاناسيو بعرض جذر خبيث لنظام أندرويد في مؤتمر ديفكون العام الماضي: “لذا فإن عالم الإعلانات المتصارعة مع بعضها البعض على الشاشة أصبح ممكناً الآن”. لن تثير هذه الوظيفة أي إشارات حمراء في الأذونات المعروضة عند تنزيل المستخدم للتطبيق لأنها وظيفة مشروعة للتطبيقات للتحقق من حالة الهاتف فيما يسمى بخدمة النشاط، وفقًا لشولت. قال بيركوكو إن الباحثين تحدثوا إلى شخص ما في جوجل حول النتائج التي توصلوا إليها قبل بضعة أسابيع، وأن الشخص أقر بوجود مشكلة وقال إن الشركة تحاول معرفة كيفية معالجتها دون تعطيل أي وظيفة للتطبيقات الشرعية التي قد تستخدمها. وعند الاتصال به للتعليق، قال ممثل جوجل إنه سينظر في الأمر.
تحديث 8 أغسطس 2011 الساعة 3:50 مساءً بتوقيت المحيط الهادئ أدلى المتحدث باسم Google بهذا البيان: “التبديل بين التطبيقات هو قدرة مرغوبة تستخدمها العديد من التطبيقات لتشجيع التفاعل الغني بين التطبيقات. لم نر أي تطبيقات تستخدم هذه التقنية بشكل خبيث على متجر أندرويد ماركت وسنقوم بإزالة أي تطبيقات تفعل ذلك.” كما وجه المتحدث باسم جوجل CNET إلى تطبيق Visidon’s AppLock كمثال على كيفية استخدام هذه الوظيفة. يستخدم التطبيق تقنية التعرف على الوجه لمنع الوصول غير المصرح به إلى أجزاء من هاتفك، مثل تطبيق Gmail. إن الاستخدام المشروع للوظيفة الموصوفة في الثغرة الموضحة في هذا المثال من شأنه أن يمرر واجهة طلب كلمة المرور الخاصة بتطبيق AppLock على واجهة Gmail عند النقر عليها. نظرًا لأن AppLock يستخدم وجهك ككلمة مرور خاصة به، فإنه سينزلق، ويسمح لوجهك بالتعرف على وجهك ككلمة المرور المعتمدة، ثم ينزلق بعيدًا.
تحديث 8 أغسطس 2011 الساعة 7:40 مساءً بتوقيت المحيط الهادئ رد بيركوكو على بيان جوجل: “تبديل التطبيقات ليس المشكلة. المشكلة الحقيقية هي قدرة التطبيقات الأخرى على تحديد التطبيق الموجود في المقدمة ومن ثم تقرر القفز أمام هذا التطبيق قيد التشغيل دون أن يمنحها المستخدم الإذن بذلك. كما أننا لا نرى أيضًا كيف يمكنهم تحديد الفرق بين التطبيق الخبيث والتطبيق الشرعي لأن كلاهما سيبدو متطابقًا تقريبًا حتى يبلغهم المستخدم بأنه خبيث. إن موقف “الانتظار حتى يتم الإبلاغ عن سوء التطبيق قبل إزالته” هو موقف خطير ومن المحتمل أن يثبت أنه جهد غير مثمر حيث يمكن للمهاجمين نشر التطبيقات بشكل أسرع بكثير من قدرة جوجل على تحديدها وإزالتها من السوق.”
ساهم سيث روزنبلات من سي نت في هذا التقرير.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
