تعد امتدادات Android و Chrome من Google مكانًا محزنًا للغاية. إليكم السبب

لا عجب أن Google تواجه مشكلة في مواكبة متجر التطبيقات الخاص بها. منذ يوم الاثنين ، أفاد الباحثون أن المئات من تطبيقات Android وإضافات Chrome التي تحتوي على ملايين التثبيتات من السوق الرسمي للشركة تضمنت وظائف للتطفل على ملفات المستخدم ، والتلاعب بمحتويات الحافظات ، والحقن المتعمد لرمز غير معروف في صفحات الويب.

قال الباحثون إن Google قد أزال العديد من الإدخالات الضارة وليس كلها ، ولكن فقط بعد الإبلاغ عنها ، وبحلول ذلك الوقت ، كانت موجودة على ملايين الأجهزة – وربما مئات الملايين. الباحثون ليسوا سعداء.

مكان حزين جدا

كتب الباحث والمطور الإرشادي فلاديمير بالانت في رسالة بريد إلكتروني: “أنا لست معجبًا بنهج Google”. في الأيام التي سبقت Chrome ، عندما كان لدى Firefox حصة أكبر من حصة المتصفح ، قام أشخاص حقيقيون بمراجعة الإضافات قبل إتاحتها في سوق Mozilla. اتخذ Google نهجًا مختلفًا باستخدام عملية مراجعة آلية ، قام Firefox بنسخها بعد ذلك.

“نظرًا لأن المراجعات الآلية غالبًا ما تفتقد الإضافات الضارة ، كما أن Google بطيئة جدًا في الاستجابة للتقارير (في الواقع ، نادرًا ما تتفاعل على الإطلاق) ، فإن هذا يترك المستخدمين في مكان محزن للغاية.”

لطالما وجه الباحثون والمدافعون عن الأمن نفس الانتقادات إلى عملية Google لمراجعة تطبيقات Android قبل إتاحتها في سوق Play. يقدم الأسبوع الماضي سببًا صارخًا للاستياء.

يوم الإثنين ، أعلنت شركة الحماية Dr. Web عن العثور على 101 تطبيق مع 421 مليون عملية تنزيل من Play والتي تحتوي على كود يسمح بمجموعة من أنشطة برامج التجسس ، بما في ذلك:

• الحصول على قائمة الملفات في أدلة محددة
• التحقق من وجود ملفات أو أدلة معينة على الجهاز
• ارسال ملف من الجهاز للمطور
• نسخ أو استبدال محتوى الحافظة.

قام Lukas Stefanko الباحث في ESET بتحليل التطبيقات التي أبلغ عنها الدكتور ويب وأكد النتائج. في رسالة بريد إلكتروني ، قال إنه لكي يعمل التطفل على الملف ، سيتعين على المستخدمين أولاً الموافقة على إذن يُعرف باسم READ_EXTERNAL_STORAGE ، والذي ، كما يوحي اسمه ، يسمح للتطبيقات بقراءة الملفات المخزنة على الجهاز. على الرغم من أن هذا أحد الأذونات الأكثر حساسية التي يمكن للمستخدم منحها ، إلا أنه مطلوب لأداء العديد من الأغراض المزعومة للتطبيقات ، مثل تحرير الصور وإدارة التنزيلات والعمل مع الوسائط المتعددة أو تطبيقات المتصفح أو الكاميرا.

قال الدكتور ويب إن وظائف برامج التجسس تم توفيرها بواسطة مجموعة مطوري البرامج (SDK) المستخدمة لإنشاء كل تطبيق. تساعد مجموعات تطوير البرامج (SDK) على تبسيط عملية التطوير من خلال أتمتة أنواع معينة من المهام الشائعة الأداء. حدد د. ويب SDK لتمكين التطفل على أنه SpinOK. لم تنجح محاولات الاتصال بمطور SpinOK للتعليق.

يوم الجمعة ، وسعت شركة الأمان CloudSEK قائمة التطبيقات التي تستخدم SpinOK إلى 193 ، وقالت إن 43 من هذه التطبيقات لا تزال متاحة في Play. في رسالة بريد إلكتروني ، كتب باحث في CloudSEK:

تعد برامج التجسس Android.Spy.SpinOk تهديدًا مقلقًا للغاية لأجهزة Android ، حيث إنها تمتلك القدرة على جمع الملفات من الأجهزة المصابة ونقلها إلى مهاجمين ضارين. مجموعة الملفات غير المصرح بها هذه تعرض المعلومات الحساسة والشخصية لخطر الكشف عنها أو إساءة استخدامها. علاوة على ذلك ، فإن قدرة برامج التجسس على التلاعب بمحتويات الحافظة تزيد من تفاقم التهديد ، مما قد يسمح للمهاجمين بالوصول إلى البيانات الحساسة مثل كلمات المرور أو أرقام بطاقات الائتمان أو غيرها من المعلومات السرية. يمكن أن تكون الآثار المترتبة على مثل هذه الإجراءات شديدة ، مما يؤدي إلى سرقة الهوية والاحتيال المالي وانتهاكات الخصوصية المختلفة.

لم يكن الأسبوع أفضل حالًا بالنسبة لمستخدمي Chrome الذين يحصلون على ملحقات من متجر Chrome الإلكتروني في Google. يوم الأربعاء ، أبلغت شركة Palant عن 18 امتدادًا تحتوي على رمز غامض متعمدًا وصلت إلى خادم موجود في serasearchtop.[.]كوم. بمجرد الوصول إلى هناك ، قامت الامتدادات بحقن JavaScript غامض في كل صفحة ويب شاهدها المستخدم. إجمالاً ، بلغ عدد عمليات التنزيل الـ 18 حوالي 55 مليون عملية تنزيل.

في يوم الجمعة ، أكدت شركة الأمان Avast نتائج Palant وحددت 32 امتدادًا مع 75 مليون تنزيل تم الإبلاغ عنها ، على الرغم من أن Avast قالت إن عدد التنزيلات ربما يكون مبالغًا فيه بشكل مصطنع.

من غير المعروف بالضبط ما فعله JavaScript المحقون لأن Palant أو Avast لم يتمكنوا من عرض الكود. بينما يشك كلاهما في أن الغرض هو اختطاف نتائج البحث والمستخدمين المزعجين بالإعلانات ، يقولون إن الامتدادات تجاوزت كونها مجرد برامج تجسس وبدلاً من ذلك شكلت برامج ضارة.

وأوضح أن “القدرة على إدخال شفرة جافا سكريبت عشوائية في كل صفحة ويب لها إمكانية إساءة استخدام هائلة”. “إعادة توجيه صفحات البحث هي الطريقة الوحيدة * المؤكدة * التي تم بها إساءة استخدام هذه السلطة.”