شركة أمنية تكشف عن استخدام التخزين الخارجي لاختراق تطبيقات أندرويد
أصدرت شركة Security Software Company Check Point للأمن المعلوماتي تقريرًا حول نقطة ضعف في طريقة استخدام بعض التطبيقات للتخزين الخارجي الذي يمكن استغلاله للوصول إلى أذوناتهم أو حتى تثبيت برامج ضارة.
والتخزين الخارجي هو نوع من المساحة المجانية للجميع ويمكن الوصول إلى الملفات المخزنة هناك من خلال تطبيقات متعددة، ولهذا السبب، نشرت شركة جوجل إرشادات للمطورين الذين يستخدمون وحدة التخزين الخارجية لتطبيقاتهم، واقترحوا بعض قواعد الأمان مثل تشفير الملفات أو التحقق من صحة أي ملفات غير مشفرة قبل استخدامها.
وفقًا للتقرير، على الرغم من توفر جوجل لهذه الإرشادات، فحتى بعض تطبيقاتها الخاصة لم تلتزم بها وكانت عرضة للهجمات المسماة "رجل في القرص"، وأكثرها شهرة هي Google Google Voice Typing وGoogle Text-to-Speech.
ويمكن تنفيذ الهجوم إذا قام المستخدم بتثبيت تطبيق يمكن أن يبدو غير ضار لكن يحتوي على رمز خبيث فيه، وسيَتطلب التطبيق الوصول إلى وحدة التخزين الخارجية، وهو أمر شائع ويسمح به معظم الأشخاص، عندئذٍ يعدّل تطبيق البرامج الضارة ملفات التطبيق المستهدف وفي المرة التالية التي يستخدم فيها الملفات، فإنه يصل إلى الملفات المعدلة، التي تعتمد الملفات المعدّلة على هدف المهاجم، لكن يمكن أن يكون أي شيء من تعطل التطبيق ببساطة إلى تغيير الأذونات واستخراج معلومات المستخدم من داخل التطبيق.
وإذا كان التطبيق يستخدم وحدة التخزين الخارجية لحفظ ملفات التحديث، يمكن للبرامج الضارة الوصول إليها وتغييرها حتى يتم تحديث التطبيق المخترق فعليًا لتطبيق منفصل تمامًا لا يريده المستخدم.
وبعد العثور على المشكلة، اتصلت الشركة بجوجل، ومنذ ذلك الحين نجحت في إصلاح الثغرة الأمنية على برنامجها الخاص، ومع ذلك، لا يمكن لـCheck Point سوى اختبار عدد محدود من التطبيقات، لذا لا يزال هناك الكثير من المستخدمين الذين ما زالوا متاحين لهذا الاستغلال، ويُنصح المستخدمون بالتحقق من مصداقية التطبيقات التي يثبتونها.
