ثغرة «ماستر كي» تدهم «أندرويد».. وتحذيرات من تطبيقات المصارف
دهمت ثغرة "ماستر كي" مستخدمي أنظمة تشغيل الأجهزة الذكية "أندرويد" المطور من قبل "جوجل"، وذلك عبر عدد من التطبيقات المنتشرة في متجر عملاق برمجيات الإنترنت، في الوقت الذي كشفت فيه معامل الأمن والحماية الرقمية عن توصل المقرصنين إلى نوافذ تمكنهم من تثبيت التطبيقات الخبيثة محل التطبيقات السليمة.
وقال خبراء في معامل "تريند ميكرو" للحماية وأمن المعلومات بأن المخاطر أكثر جدية بالنسبة للتطبيقات المثبتة في الأصل من الشركة المصنعة للهواتف الذكية أو الحواسيب اللوحية، موضحين أنه بمجرِّد تسلَّل تلك التطبيقات الخبيثة إلى الهواتف الذكية والحواسيب اللوحية فإنها تتصرَّف بالطريقة ذاتها التي تتصرَّف بها كل التطبيقات الخبيثة، غير أنها خطورتها أشدّ لأن المستخدم يعتقد اعتقاداً راسخاً بأنها تطبيقات سليمة.
وكانت قد ظهرت خلال الأسابيع الماضية نسخة معدَّلة من تطبيقات للخدمات المصرفية عبر الإنترنت ستعمل كالمعتاد، غير أنها لن ترسل بيانات المستخدم، خاصة اسم المستخدم وكلمة السر، إلى المصرف بل إلى قراصنة في الطرف الآخر.
وقال الخبراء بأن هذه الثغرة الأمنية وثيقة الصلة بطبيعة ما يُعرف بالتوقيعات الرقمية لتطبيقات "أندرويد"، فمن المعروف أن كل تطبيقات "أندرويد" لها توقيعات رقمية من مطوريها تؤكد أنها في حالتها الأصلية ولم تعدل من قبل آخرين، مضيفين أنه لا يمكن تحديث التطبيق ما لم تكن النسخة الجديدة تحمل توقيعا مطابقا لتطبيق مطور التطبيق المعتمد.
أوضح المعمل أن خطورة الثغرة التي اكتشفت تكمن في تمكين القراصنة من تحديث التطبيقات المثبتة على الأجهزة النقالة حتى في حالِ عدم تطابق التوقيعَين الرقميَّين للتطبيق المثبَّت وللتطبيق المحدث، وبذلك يمكن للقراصنة تحديث أي تطبيق مثلت بنسخة خبيثة لمآرب خاصة.
حماية ووقاية
تقف وقاية الأجهزة الذكية من قبل ملاكها سدا منيعا أمام القراصنة، بينما تحاول تطبيقات الأمن والحماية تنبيه المستخدمين وإزالة كل ما يعترض تلك الحواسيب، في الوقت الذي تقوم أغلب الشركات المزودة لتطبيقات الأمن والحماية بتحديث خدمة موثوقية التطبيقات لرصد التطبيقات المُستغِلَّة لتلك الثغرة الخطيرة، كما أصدر البعض الآخر تطبيقات وتحديثات تضمن رصد وصدّ أي تطبيقات تستغِّل تلك الثغرة بأيِّ شكل من الأشكال.
وتحثُّ بذلك الكثير من الشركات المستخدمين على تعطيل خاصية تثبيت تطبيقات من مصادر غير متجر Google Play، ويمكن القيام بذلك من خلال إعدادات النظام في الأجهزة المزوَّدة بنظام التشغيل "أندرويد".
