قد تفاجأ من وجود مخاطر تطبيقات تسهيل الوصول بالأساس، فهذا الادعاء قد يناقض الغاية الأساسيّة منها، وهي تيسير المهام لمن هم بحاجةٍ لذلك حقًّا.

مفهوم أدوات تسهيل الوصول

تعد تطبيقات امكانية الوصول عنصرًا هامًا من عناصر نظام التشغيل Android، والتي تسمح للمستخدم العادي بتعديل آلية الوصول إلى التطبيقات أو أداء المهام وفقًا لرغباته، بالإضافة إلى مهمتها الأساسية بكونها تتيح لذوي الهمم والمستخدمين الذين يعانون من مشاكلَ مزمنةٍ استخدام الأجهزة المحمولة لغاياتهم الشخصية أو حتى توظيفها في خدمتهم، فمثلًا؛ يتيح تطبيق Android Accessibility Suite للمستخدمين الذين يعانون من مشاكلَ في البصر سماعَ وصفٍ مقروءٍ لما هو مرسومٌ أو مكتوبٌ على شاشة الجهاز، بالإضافة إلى تأمين التطبيق لتغذية راجعة حسية (إما عن طريق الاهتزاز أو الأصوات) مما يساعد المستخدم على التنقل بين وظائف الهاتف المحمول.

كل ذلك جعل من تطبيقات امكانية الوصول (أو Accessibility Apps) عنصرًا مميزًا و هامًا ضمن حقيبة التطبيقات التي يؤمنها نظام أندرويد. و لكن المشكلة الأساسية في هذه التطبيقات هي كمية المعلومات التي تصل إليها هذه التطبيقات؛ حيث أنها تعتمد في آلية عملها على الوصول إلى بياناتٍ ومعلوماتٍ قد تتسم بالحساسية، والذي أدى إلى جعل هذه التطبيقات هدفًا للقراصنة ولصوص المعلومات.

أبرز مخاطر تطبيقات تسهيل الوصول المشبوهة

أحد أخطر الأمثلة على تطبيقات الوصول العدائية هي تطبيقات المباغتة (Cloak and Dagger)، والتي تعتمد في عملها على استغلال خدمات سهولة الوصول وذلك بتغطية الشاشة بخدمة رسم تتبع كلًا من تحركات المستخدم وما يظهر على الشاشة. أحد أكبر المشاكل في محاربة مثل هذه التطبيقات هو استغلالها لخدماتٍ مشروعةٍ ضمن نظام أندرويد لتنفيذ هجومها، مما جعل من الصعب كشفها من قبل مضادات الفيروسات برمجيات الكشف.1

اتجهت غوغل في عام 2017 نحو تغيير سياستها للحد من انتشار هذه التطبيقات على متجر غوغل بلاي Google Play، حيث فرضت على مطوري التطبيقات التي تستخدم آليات تسهيل الوصول أن تعلم المستخدمين عن الآلية التي يساعد بها التطبيق المستخدمين ذوي الإعاقات، وإلا فإنها ستحذف التطبيق من المتجر خلال 30 يومًا.2

نوعٌ آخر من هذه التطبيقات الخطرة هو حصان طروادة (Trojan Malware) التي تتخفى بهيئة تطبيقٍ عاديٍّ لتقوم بسرقة معلومات المستخدم وترسلها إلى المطور. كمثالٍ عليها نذكر تطبيق Anubis؛ الذي كان يعتمد على تطبيقات تسهيل الوصول من أجل سرقة بيانات الاعتماد البنكي الخاصة بضحاياه. تقوم تطبيقات حصان طروادة من هذه الفئة عادةً بادعاء كونها تطبيقًا بنكيًّا لتسرق معلومات المستخدم التي يتم إدخالها إليها. امتاز التطبيق السابق عن التطبيقات الأخرى المماثلة كونه يسرق المعلومات المدخلة عبر لوحة المفاتيح إلى تطبيقات التعامل البنكي الحقيقية مباشرةً.3

يعد تطبيقا Ginp (غينب) وGustuff (غوستوف) من أحدث البرمجيات التي تتجسّد فيها مخاطر تطبيقات تسهيل الوصول في سرقة معلومات الضحايا. يدّعي Ginp كونه تحديثًا لبرنامج Adobe Flash Player، وعند تحميله، يطلب من المستخدم موافقته على استخدام خدمات تسهيل الوصول. في حال موافقة الضحية على ذلك، يعطي Ginp لنفسه صلاحياتٍ إداريةً تمكنه من تسجيل ورصد رسائل SMS، وإرسالها، والوصول إلى قائمة الاتصالات وتحويل المكالمات، بالإضافة إلى تقليده لبرميجة Anubis وقيامه بمحاولة سرقة بيانات الاعتماد الخاصة بالمستخدمين.

Gustuff، من ناحيةٍ أخرى، كان يصيب الهواتف المحمولة عن طريق روابط متناقلة عبر SMS تقوم بتحميل حزمة برمجياتٍ خبيثةٍ.4

فيستخدم أذونات إمكانية الوصول ليتفشى ضمن الهاتف المستخدم ويغير في القيم المدخلة ضمن محفظات العملات الرقمية والتطبيقات البنكية. يستطيع Gustuff تجاوز نظام حماية Play Protect الخاص بغوغل بفعاليةٍ تصل حتى 70%. يستطيع Gustuff كنتيجةٍ لذلك إرسال الأموال نحو جهاتٍ يحددها مطور البرمجية، بالإضافة إلى قدرته على إرسال وقراءة رسائل SMS، ونسخ الوسائط الموجودة على الهاتف وإرسالها نحو المخدم، وإعادة ضبط المصنع للهاتف.5

إن لتطبيقات تسهيل الوصول أهميةً كبرى كونها تتوافق مع قيم العدالة الإنسانية الحديثة بإتاحة وسائط التكنولوجيا لأولئك الذين يحتاجونها، لربما، أكثر من غيرهم، لكن الحذر في استخدامها واجبٌ نظرًا للمخاطر التي تشتمل على زيادة الترابط بين مصادر البيانات المستقلة. لا يزال إلى الآن عمالقة التكنولوجيا في تنافسٍ لتطوير خدماتهم بما يتناسب مع سلامة المستخدمين وتلبية متطلباتهم، لكن الخطر سيبقى قائمًا ما دام هناك دافعٌ ماديٌّ للقراصنة لتطوير أساليب اختراقهم لأنظمة الأمان الحديثة.

المراجع