اكتشف الباحثون في شركة Check Point Research احتماليّة اختراق بيانات أكثر من 100 مليون مستخدم للخدمات السحابيّة على الهواتف الذكيّة. حيثُ صرحَت الشركة المتخصصة في تحليل تطبيقات نظام اندرويد يوم الجمعة عن أخطاءٍ خطيرة في التهيئة السحابيّة للعديد من التطبيقات المستخدمة. والتي تؤدي إلى اختراق لبيانات أكثر من 100 مليون مستخدم للأجهزة العاملة على نظام التشغيل أندرويد.
اختراق بيانات أكثر من 100 مليون مستخدم بسبب سوء الإدارة وفقاً للتقرير
ناقشَت شركة “تشيك بوينت” في تقريرٍ نشرَ مؤخراً كيف أدى سوء استخدام قواعد البيانات للشركات التي تقدم خدماتٍ للتخزين السحابي إلى كشف واختراق بيانات شخصيّة لأكثر من 100 مليون مستخدم. والتي تشمل أموراً حساسة مثلَ البريد الإلكتروني وكلمات المرور والأسماء وما إلى ذلك. إضافةً لترك موارد الشركة الموفرة للخدمة وعدم اتخاذ إجراءات ضدّ الهجمات الإلكترونيّة المحتملة.
وأشارَ التطبيق إلى أنّ إهمال ممارسات الحمايّة عند تكوين خدمات السحابة الخارجية ودمجها في التطبيقات. قد أدى إلى الكشف واختراق بيانات خاصة لأكثر من 100 مليون مستخدم. كما يشرح التقرير أنّ التأثير لا يمتدّ للمستخدمين فقط، بل للمطورين كذلك. فقد تركَت إهمال إجراءات الحمايّة والتشفير مطوري التطبيقات عرضةً للخطر كذلك. حيثُ أنّ التهيئة الخاطئة تؤدي إلى سلب الموارد الداخلية للمطور، مثل الوصول إلى آليات التحديث والتخزين. مما يعرضه للمساءلة القانونيّة، وتحمله المسؤوليّة الكاملة عن تعريض البيانات الشخصية للمستخدمين للبيع مثلاً.
وأوضحَ مايكل إيسبيتسكي، الخبير التقني في شركة Salt Security المسؤولة عن توفير الأمان لواجهات برمجة التطبيقات (API)، بعض هذه المشكلات التي كشفها تقرير Check Point. حيثُ شبهَ ما يحدث الآن بحادثة مسجل هواتف الآيفون سابقا التي سربَت تسجيلات لمستخدمي الأجهزة.
ففي حين يلجاً مطورو تطبيقات الهاتف المحمول غالباً إلى استخدام قواعد البيانات المستضافة على السحابة وتخزين البيانات والمحتوى لعملاء الأجهزة المحمولة. إضافةً لتوفير هذه الخدمات السحابيّة تخزيناً غير محدود بشكلٍ أساسي. فإنّ التحقيق في تطبيقات أندرويد من قبل الشركة قد بينَ أنّ البيانات المخزنة في السحابة التي لا تتطلب مصادقة ويمكن لأي شخص الوصول إليها. والتي تتضمن بشكلٍ أساسي معلومات حساسة وشخصيّة ككلمات المرور وسجلات الدردشة والمزيد وعناوين البريد. وذلكَ اعتماداً على الاستخدام لتطبيق الجوال، وما هو ضروري لتشغيل التطبيق وفق الشركة المصنعة.
هل ستتحسن وثوقيّة الخدمات السحابيّة إذاً؟
يوضح التقرير كذلك أنه لم يتم تأمين الخدمات السحابية التي توفر إدارة بيانات الواجهة الخلفية لمسجل الشاشة وتطبيقات الفاكس أيضاً بشكل كافٍ. كما تم العثور أيضاً على مفاتيح إعلام الدفع في التطبيقات. والتي تركَت مفتوحةً لإساءة الاستخدام. حيثُ إذا تم استغلال خدمات الدفع، فيمكن استخدامها لإرسال تنبيهات ضارة إلى مستخدمي التطبيق وجرائم أخرى مثلَ الاحتيال وسرقة الهوية. في حين يقول الباحثون إن هذه الإخفاقات الأمنية ترجع إلى فشل المطورين في اتباع وسائل تشفير قويّة عند تكوين ودمج الخدمات السحابية لجهات خارجية في تطبيقاتهم.
ووجدَ أنه من بين تطبيقات أندرويد البالغ عددها 23 التي أجري عليها الدراسة، والتي تتضمن تطبيقات لسيارات الأجرة، ومسجل للشاشة، وخدمة الفاكس وغيرها. كانَت هناك 13 حالة أتيحَت فيها البيانات الحساسة للجمهور في إعدادات سحابيّة غير آمنة. علماً أن التطبيقات قد حصلَت على ما بين 10000 و 10 ملايين عملية تنزيل لكل منها.
ويرى مايكل إيسبيتسكي أنه في ظلِ توافر برامج لفك عمليات التشفير، يمكن بسهولة اختراق البيانات واستخراجهم من المهاجمين. ثمَ يضيف أن المطورين في حال أرادوا استخدام التخزين السحابي في المستقبل، وعدم تكرار ما يذكره التقرير عن تأكيد اختراق بيانات أكثر من 100 مليون مستخدم. فهم بحاجةٍ إلى ضمان الحفاظ على أمان أي مادة أساسيّة ضروريّة للاتصال بمثل هذا التخزين. ويجب أيضاً الاستفادة من آليات التحكم في الوصول والتشفير لموفر السحابة للحفاظ على البيانات محميّة . والاستفادة من آلياتٍ مثل Android Keystore و Keychain المدعومة بوحدة أمان للأجهزة الخاصة بالجهاز المحمول. وكذلك الاستفادة من آليات تشفير Android عند تخزين البيانات الحساسة الأخرى من جانب العميل.
اقرأ كذلك عن أخر أخبار التكنولوجيا: