دراسة: تعديلات مُصّنعي هواتف «أندرويد» تتسبب في مشكلات أمنية
يُسيطر نظام تشغيل «أندرويد» حالياً على ما يزيد على 80% من سوق الهواتف الذكية في العالم، وفقاً لبيانات شركة «استراتيجي أناليستكس» للأبحاث عن الربع الثالث من عام 2013. ووفرت الطبيعة المفتوحة لنظام «أندرويد» للمُصنعين إمكانية تخصيص النظام وإضافة برامجهم الخاصة، في محاولة منهم لتمييز منتجاتهم عن المنافسين.
لكن دراسة حديثة أجراها باحثون في علوم الكمبيوتر من جامعة «ولاية نورث كارولاينا» الأميركية، رأت أن التعديلات التي يُجريها منتجو الهواتف على برمجة «أندرويد» تتسبب في جانب كبير من الثغرات الأمنية، التي تجعل الهواتف أضعف في مواجهة الاختراق.
واعتمدت الدراسة على تقييم 10 هواتف، يعمل نصفها بإصدارات من الجيل الرابع لنظام «أندرويد»، الذي بدأ بإصدار «آيس كريم ساندويتش»، بينما يعمل النصف الآخر بالجيل الثاني الذي بدأ بإصدار «إكلير»، وفي ما بين الجيلين أطلقت شركة «غوغل» الأميركية نسخة «أندرويد 3.2» التي عُرفت باسم «هوني كومب»، واستهدفت أجهزة الكمبيوتر اللوحية بشكل خاص.
وتعود الهواتف الـ10 إلى مُصنّعين مختلفين هم: «سامسونغ»، و«إتش تي سي»، و«إل جي»، و«سوني»، وتضمنت «غالاكسي إس 3»، و«إتش تي سي وإن ماكس» اللذين حظيا بشعبية كبيرة، فضلاً عن هاتفين لـ«غوغل»، هما «نيكزس إس»، و«نيكزس 4» اللذان صنعتهما كلٌ من «سامسونغ» و«إل جي» على الترتيب.
وسعت الدراسة، التي عرضها موقع مجلة «إم آي تي تكنولوجي ريفيو»، إلى تحديد نقاط الضعف الأمنية ومصدرها الأصلي، ولذلك قسم الباحثون التطبيقات المثبتة على الهواتف إلى ثلاث فئات؛ الأولى تطبيقات «مشروع أندرويد مفتوح المصدر» التابع لـ«غوغل»، وتتضمن الثانية التطبيقات التي طورها وخصصها مُصنعو الهواتف، فيما تتضمن الفئة الثالثة تطبيقات المطورين الآخرين.
وتوصلت الدراسة إلى أن نسبة تراوح بين 65 و85% من بين 177 ثغرة أمنية وُجدت في هواتف «سامسونغ»، و«إتش تي سي»، و«إل جي» ترجع إلى تخصيص المصنعين لنظام التشغيل، وهو المصدر الذي تسبب في نسبة 38% من بين 16 نقطة ضعف وُجدت في «سوني».
وعلق الباحث الأمني الرئيس في شركة «لوك آوت» لبرمجيات الحماية للهواتف المحمولة، مارك روجرز، بالقول إنه بصرف النظر عن مصدر المشكلات، فإن أية تغييرات في «أندرويد» تُسهِم في تجزئة نظام التشغيل، ويمكنها أن تُنتج نقاط ضعف في النظام لا تعالجها «غوغل».
كما استهدفت الدراسة فحص البيانات والخصائص التي تطلب التطبيقات استخدامها، مثل طلب الوصول إلى الصور أو جهات الاتصال في الهاتف، وذلك بهدف تحديد أي التطبيقات تطلب أذونات بالوصول إلى معلومات لا تستخدمها في الواقع، وتُمثل التطبيقات التي تطلب أذونات لا تستخدمها إشكالية؛ لأن بمقدورها تعريض البيانات الشخصية للمستخدم، مثل الاسم وأرقام البطاقة الائتمانية لخطرٍ حقيقي، إذا ما جرى اختراقها.
وأظهرت النتائج أن نسبة 86% من التطبيقات التي تم تحميلها مُسبقاً على الهواتف الذكية طلبت أذونات تفوق حاجتها للعمل، وشكل معظمها التطبيقات ذات الامتيازات الخاصة، التي يدمجها منتجو الهواتف الذكية مع نظام التشغيل في المراحل الأولى، جزءاً من عملية التخصيص التي يقومون بها، ولذلك تحصل على قدر أكبر من أذونات الوصول إلى المعلومات بالمقارنة مع تطبيقات المطورين الآخرين.
واعتبر «روجرز» أن التطبيقات ذات الامتيازات الخاصة مشكلة شائعة لمطوري التطبيقات عموماً، وليس فقط لمنتجين محددين، مشيراً إلى وجود عدد غير قليل من التطبيقات تعاني هذه المشكلة؛ نظراً لأن المطورين يفكرون في طلب أذونات إضافية تحسباً لاحتياجهم إليها في المستقبل.
كما تضمنت الدراسة البحث في المشكلات الأمنية التي تسمح للتطبيقات بالتصرف والوصول إلى معلومات لا يحق لها استخدامها، وكذلك المشكلات التي تتيح للتطبيقات مشاركة المعلومات الحساسة الخاصة بالمستخدم دون إذن منه.
بدوره، اعتبر أحد مؤلفي الدراسة، زوزيان جيانج، نتائج البحث مؤشراً إلى عدم التفات منتجي الهواتف الذكية للمسائل الأمنية بالقدر اللازم من الجدية، وأشار إلى مواجهتهم لضغوط مستمرة تدفعهم لطرح ميزات برمجية جديدة في السوق، كما عبر عن أمله أن تساعد نتائج الدراسة المصنعين والمستخدمين على التعرف الى المشكلات الأمنية، ليكون الجيل المقبل من الهواتف أكثر أمناً.
ومن المقرر أن تُعرض الدراسة في مؤتمر «إيه سي إم لأمن الحاسب والاتصالات»، الذي يُعقد في العاصمة الألمانية برلين بين الرابع والثامن من نوفمبر الجاري.