قامت جوجل بحذف عدد كبير من تطبيقات أندرويد من متجر جوجل بلاي، وذلك بعدما صدر تقرير من مجلةThe Wall Street يؤكد أن تلك التطبيقات تضم أكوادًا مخفية وظيفتها حصد البيانات الشخصية للمستخدمين، والمتمثّلة في الموقع الجغرافي الدقيق للمستخدم، رقم الهاتف، البريد الإلكتروني والمزيد، وستلاحظ أن أغلب تلك التطبيقات هي من النوع الديني، حيث يميل المستخدمون إلى الوثوق في أي تطبيقات دينية مهما كان مصدرها، ما يجعلها فرصة سائغة لسرقة بيانات المستخدمين دون شكهم، كذلك اُكتشفت تطبيقات أخرى كمواسح QR، تطبيقات للطقس، ورادار للطرق السريعة، وجميع تلك التطبيقات تم تحميلها على أكثر من 60 مليون جهاز!

وحسب ما ورد من معلومات، فقد تم صناعة هذه الأكواد المخفية بواسطة شركة تدعى "Measurement Systems" وهي شركة مرتبطة بشخص يقوم بالاستخبارات الإلكترونية وأكثر لوكالات الأمن القومي الأمريكية، والتي قامت بالدفع للمطورين مقابل استخدام حزمتهم الخاصة لتطوير البرمجيات (SDK)، والتي لن يستفيدوا منهما ماديًا وحسب، وإنما ستبلغهم أيضًا بمعلومات مفصلة حول قاعدة المستخدمين الخاصة بهم. وذكر أحد مطوري تلك التطبيقات أنه تم إخباره بأن الكود كان يجمع البيانات نيابة عن مزودي خدمة الإنترنت إلى جانب شركات الخدمات المالية والطاقة.

هكذا يتم جمع بيانات MAC و IP address بواسطة ثغرة قديمة في أنظمة أندرويد

قام أحد الباحثين في مدونة AppCensus بالتعمق في أحد تلك التطبيقات التي تضم هذه الأكواد المخفية، ووقع الاختيار على تطبيق WiFi Mouse (remote control PC) والذي يقوم بإرسال عنوان MAC الخاص بجهازك إلى نطاق mobile.measurelib.com، على الرغم من أن التطبيق لا يملك صلاحيات الحصول على العنوان، -والتي تلزم للحصول على عنوان MAC من جهاز الراوتر الخاص بك- ما يعني أن التطبيق يستخدم طريقة ملتوية للحصول على هذه البيانات دون أخذ أذونات النظام.

وقد تمكن الباحثون في المدونة المذكورة من الوصول إلى الطريقة المستخدمة، حيث يقوم التطبيق بقراءة ذاكرة التخزين المؤقتة المحلية لعناوين MAC وعناوين IP، والمعروفة باسم (ARP) التي كانت ثغرة في أنظمة أندرويد القديمة، حيث لم يكن يتم تأمينها بالشكل اللازم ما يُسهّل الحصول عليها دون الحاجة لأخذ أي أذونات، حتى إصدار أندرويد 11، وهو ما يعتمد عليه التطبيق؛ نظرًا لأن عددًا كبيرًا من أجهزة أندرويد تعمل بأنظمة تشغيل أدنى من 11.

لاحظ وجود سطر لتجميع عنوان MAC و IP بإستخدام ARP

وبهذه الطريقة كان يتم استغلال ثغرة في أنظمة أندرويد القديمة لجمع بيانات حساسة للمستخدمين ونقلها إلى نطاق مجهول، ولكن لم يتوقف الأمر هنا بل وتم التحقيق في تطبيقات أخرى تستخدم نفس حزمة SDK، وهذه المرة تم اختيار تطبيق للطقس يسمى Simple weather & clock widget وهو ما كشف عن جمعه لرقم الهاتف، البريد الإلكتروني وكل ما يتم نسخه في الحافظة (Clipboard).

رقم الهاتف، البريد الإلكتروني وكل ما يتم نسخه في الحافظة

على الرغم من أن جميع التطبيقات تستخدم نفس حزمة SDK الملغّمة، إلا أنها تقوم بجمع بيانات مختلفة من كل تطبيق، وهو الأمر الذي لم يتمكن الباحثون من تفسيره، ولكن ما يمكن تأكيده أن تطبيق الطقس الذي تحدثنا عنه يقوم بجمع بيانات أخطر بكثير من سابقه، فنحن نتحدث هنا عن كل ما تنسخه في حافظة هاتفك، والمقصود بحافظة الهاتف هنا هو الذاكرة التي يتم فيها حفظ أي نص تقوم بنسخه لتتمكن من لصقه داخل أي تطبيق أو الوصول إليه من حافظة لوحة المفاتيح.

الآن هل يمكنك أن تتخيل مدى خطورة الاطلاع وجمع كل ما تقوم بنسخه في هذه الحافظة؟ ككلمات المرور مثلًا أو بيانات شخصية لا ترغب في مشاركتها، وللأسف فإن بعض التطبيقات تستخدم تلك الحزمة التابعة لشركة Measurement Systems كما في هذا التطبيق، حيث وجد فريق الباحثين سطرًا برمجيًا يضم "CB" وهو اختصار لـ Clipboard أي حافظة الجهاز، ويضم أمرًا لجمع أي نص موجود داخلها، كما يظهر بالصورة التالية.

لاحظ وجود سطر لتجميع الحافظة "CB"  في تطبيقات أندرويد المشبوهة

كذلك لُوحظ وجود عمليات إرسال أخرى لأرقام الهاتف وعنوان البريد الإلكتروني المسجل في نظام التشغيل، ولا يتوقف الأمر هنا، بل يطلب التطبيق صلاحيات الموقع -باعتباره تطبيقًا للطقس- ما يعني أنه يتم جمع عنوان المستخدم الجغرافي أيضًا بالإضافة إلى بيانات الموقع المستندة إلى جهاز التوجيه.

إنه من المخيف أن نتخيل أن تلك التطبيقات تجمع هذا العدد من المعلومات، فلك أن تتخيل أنه من الممكن إنشاء قاعدة بيانات تضم اسم، هاتف، إيميل والمكان الجغرافي لكل مستخدم، ثم استخدام قاعدة البيانات تلك لتشغيل خدمة للبحث عن سجل موقع الشخص فقط من خلال معرفة رقم الهاتف أو البريد الإلكتروني، ويمكن استخدامها لاستهداف الصحفيين أو المعارضين أو المنافسين السياسيين!

جوجل تحذف بعض التطبيقات المربوطة بتلك الحزمة، ولكن ليس جميعها

قامت جوجل بحذف عدد من التطبيقات التي تستخدم حزمة تطوير البرمجيات التابعة لشركة Measurement Systems التي تحدثنا عنها من متجر جوجل بلاي، ومع ذلك فقد حذر الباحثون من أن تلك التطبيقات لن يتم حذفها تلقائيًا من هواتف المستخدمين الذين قاموا بتحميلها بالفعل، كذلك هناك عدد من التطبيقات الأخرى التي لم يتم حذفها من المتجر حتى الآن، وذلك لأنه بمجرد فضح الأمر توقفت الحزمة عن جمع البيانات فورًا.

لحسن الحظ، فقد بلغنا الباحثون عن أسماء جميع التطبيقات التي تستخدم تلك الحزمة المشبوهة، والتي ننصح بالتأكد من عدم وجود أي تطبيق منها على هاتفك، هذه التطبيقات هي:

وفي حالة وجدت أن من تلك التطبيقات لديك، احذفها فورًا، وحاول ان تغير كلمات المرور لديك، خصوصًا لتلك الحسابات التي لا تدعم "التحقق بخطوتين".