سؤال وجواب
ما الثغرة الأمنية المعروفة باسم master key؟
هذه الثغرة الأمنية وثيقة الصلة بطبيعة ما يُعرف بالتوقيعات الرقمية لتطبيقات ''أندرويد''، فمن المعروف أن تطبيقات ''أندرويد'' كافة لها توقيعاتٌ رقمية من مُطوِّريها تؤكد أنها في حالتها الأصلية ولم تُعَدَّل بأيِّ شكل من الأشكال من قبل آخرين. وعليهِ، لا يمكن تحديث التطبيق ما لَمْ تكن النسخة الجديدة تحمل توقيعاً مطابقاً من المُطوِّر ذاته.
وتكمن خطورة الثغرة التي اكتشفها باحثون أمنيُّون أخيرا في أنها تمكِّن القراصنة من تحديث التطبيقات المثبَّتة على الأجهزة النقالة المزوَّدة بنظام التشغيل ''أندرويد'' حتى في حالِ عدم تطابق التوقيعَين الرقميَّين للتطبيق المثبَّت وللتطبيق المُحدَّث. وبذلك، يمكن للقراصنة تحديث أي تطبيق مثبَّت بنسخة خبيثة لمآرب خاصة.
وبإيجاز، تتيح الثغرة الأمنية المكتشَفَة تحويل التطبيقات المثبَّتة إلى تطبيقات خبيثة دون كَسْر توقيعاتها المشفَّرة، ليخترق القراصنة الأجهزة المستهدَفَة دون دراية أصحابها أو المطوِّرين الأصليين للتطبيقات المخترَقة.
.. وما المخاطر المنطوية؟
ببساطة، يمكن استغلال هذه الثغرة الأمنية لثبيت تطبيقات خبيثة تحلُّ محلَّ التطبيقات السليمة. ويقول الخبراء إن المخاطر أكثر جدية بالنسبة للتطبيقات المثبتة في الأصل من الشركة المُصنِّعة للهواتف الذكية أو الحواسيب اللوحيَّة وتلك المتأتية من الشركة المزوِّدة بالخدمة.
وبمجرِّد تسلّل تلك التطبيقات الخبيثة إلى الهواتف الذكية والحواسيب اللوحيَّة فإنها تتصرَّف بالطريقة ذاتها التي تتصرَّف بها التطبيقات الخبيثة كافة، غير أن خطورتها أشدّ لأن المستخدم يعتقد اعتقاداً راسخاً بأنها تطبيقات سليمة. وعلى سبيل المثال، فإن النسخة المعدَّلة من تطبيقات الخدمات المصرفية عبر الإنترنت ستعمل كالمعتاد، غير أنها لن ترسل بيانات المستخدم، خاصة اسم المستخدم وكلمة السر، إلى المصرف، بل إلى قراصنة في الطرف الآخر.
