إدارة صلاحيات هاتفك قد تحميك من الاختراق

مُسند للأنباء - ميدان   [ الخميس, 24 مايو, 2018 11:30:00 مساءً ]

 
تبذل كل من آبل وغوغل قُصارى جُهدها كل عام لتبسيط واجهة أدوات إدارة صلاحيات التطبيقات داخل النظام. كما تُجبر المُطوّرين على اتّباع بروتوكولات صارمة للحصول على إذن من المُستخدم لقاء كل ميزة أو تقنية يحتاجها التطبيق. لكن على الرغم من ذلك، تنجح نسبة كبيرة من التطبيقات في خداع المُستخدم، وفي تعريض خصوصيّته للخطر، وهذا ليس بسبب قصور مستوى الحماية، إنما بسبب التهاون المُستمر.
 
آلية عمل التطبيقات
اكتشفت شركة "كاسبرسكي" (KasperSky) المُتخصّصة في مجال الأمن الرقمي برمجية خبيثة أصابت الأجهزة العاملة بنظام أندرويد، برمجية وصلت إلى جيلها الرابع دلالة على قدم عهدها وعلى نجاحها في سرقة بيانات المُستخدم دون علمه(1). الجيل الأول من برمجية "زو بارك" (ZooPark) كان قادرا فقط على قراءة سجل الأسماء وبيانات حساب المُستخدم فقط. لكن الجيل الثاني أصبح قادرا على قراءة سجل المُكالمات، والموقع الجغرافي، إضافة إلى الرسائل النصيّة أيضا. الجيل الثالث تطور وأصبح قادرا على تسجيل المُكالمات، وعلى قراءة سجل المواقع التي يزورها المُستخدم، مع إمكانية قراءة الصور ومقاطع الفيديو المُخزّنة على بطاقة الذاكرة. أما الجيل الرابع، فأصبح قادرا على القيام بكل شيء تقريبا، كتسجيل ما يكتبه المُستخدم، أو سرقة النصوص التي يقوم بنسخها، دون نسيان قراءة سجل المُحادثات في مُعظم تطبيقات المحادثات الفورية.
 
نسبة كبيرة من تلك العمليات التي تقوم بها تلك البرمجية الخبيثة لا تحتاج إلى استغلال ثغرات أمنية في نواة نظام التشغيل، فأي تطبيق عادي بإمكانه طلب تلك الصلاحيات من المُستخدم أثناء تحميل التطبيق وتثبيته، دون إثارة الكثير من الشُبهات، ومن جديد، ليس بسبب قصور مستوى الحماية، إنما بسبب عدم تحليل الأمور بواقعية أثناء استخدام التطبيق لأول مرّة.
 
عند البدء في برمجة أي تطبيق سواء لنظام أندرويد أو "آي أو إس" (iOS) فإن المُبرمج يحتاج إلى طلب الصلاحيات من المُستخدم، فكتابة كود برمجي لتشغيل الكاميرا لن يؤدّي إلى تشغيلها فورا أول مرّة، فالمُستخدم يحتاج إلى منح التطبيق صلاحية الوصول إلى الكاميرا أولا. الأمر نفسه يتكرّر مع مُعظم المزايا، فعند وجود ضرورة لاستخدام بيانات الموقع الجغرافي (GPS)، يحتاج المُطوّر إلى إضافة سطر برمجي يطلب فيه من المُستخدم الموافقة على هذا الأمر، ويبقى التطبيق في حالة انتظار لحين الموافقة أو الرفض.
 
وإلى جانب الاهتمام بالمُطوّرين، تقوم تلك الشركات أيضا بعرض الصلاحيات المطلوبة في أكثر من مكان، فصفحة التطبيق داخل متجر التطبيقات فيها قسم خاص للصلاحيات (Permissions) تُخبر المُستخدم بما يحتاجه التطبيق. ليس هذا فقط، بل عند تثبيت التطبيق سيظهر تنبيه يُخبر المُستخدم أن التطبيق يحتاج إلى الصلاحيات التالية لمُراجعتها قبل استكمال عملية التثبيت. وفي بعض إصدارات أنظمة التشغيل، يظهر تنبيه عند استخدام التطبيق للمرّة الأولى، بحيث يطلب النظام إذن المُستخدم من جديد، وهذا لتنبيهه وتذكيره بأن هذا التطبيق يرغب باستخدام بعض المزايا التي قد تكون خطرة على الخصوصيّة.
 
بشكل عام، فإن المُستخدم يحتاج إلى تحكيم عقله بشكل دائم، فتطبيق للآلة الحاسبة أو المُنبّه لا يحتاج إلى الاتصال بالإنترنت أو إلى استخدام الكاميرا، أو حتى الوصول إلى ألبوم الصور. وعند وجود هذا النوع من الصلاحيات المُريبة فإن المُستخدم بإمكانه قراءة التعليقات أو كتابة تعليق يستفسر فيه عن سبب طلب تلك الصلاحيات، أو البحث عن تطبيقات بديلة لضمان عدم تعريض خصوصيّته للخطر.
 
الصلاحيات في أندرويد
الكلام السابق واقعي أثناء البحث عن التطبيقات أو قبل تثبيتها. لكن الشركات لم تُهمل أيضا التطبيقات بعد تثبيتها، ولهذا السبب أفردت قسما خاصا داخل الإعدادات (Settings) لمراجعة كل شيء ولضمان مُستوى حماية أعلى.
 
في نظام أندرويد، يُمكن للمستخدمين التوجّه إلى الإعدادات ثم التطبيقات (Apps) لتظهر قائمة بجميع التطبيقات الموجودة على الجهاز. ومن تلك القائمة، يتم الضغط على أي تطبيق لتظهر تفاصيله كالمساحة المُستخدمة، الحالة، أو التنبيهات، وهذا رفقة خيار الصلاحيات أيضا الذي بالضغط عليه تظهر جميع التفاصيل. في نافذة الصلاحيات ستظهر قائمة بالصلاحيات التي يطلبها التطبيق كالوصول إلى سجل المُكالمات، والكاميرا، وسجل الأسماء، والموقع الجغرافي، وغيرها. وهنا يُمكن للمستخدم تعطيل أي صلاحيات تُثير الشُبهات بشكل فوري.
 
في تلك الصفحة نفسها يُمكن الضغط على أيقونة القائمة ثم اختيار جميع الصلاحيات (All Permissions) وهذا لإظهار مزيد من التفاصيل، تفاصيل توضّح، على سبيل المثال، سبب رغبة التطبيق في قراءة البيانات الموجودة على بطاقة الذاكرة، حيث ستظهر عبارات مثل تعديل أو حذف الملفات، أو حتى قراءة محتوياتها. أو سبب رغبة التطبيق في الوصول إلى سجل الأسماء وهكذا لكل صلاحية مطلوبة.
 
قد تكون تلك العملية مُتعبة في حالة وجود الكثير من التطبيقات المُثبّتة على الجهاز. وهنا يُمكن العودة إلى نافذة جميع التطبيقات -بالتوجّه إلى الإعدادات ثم التطبيقات- والضغط على أيقونة الإعدادات الموجودة في الأعلى ثم "صلاحيات التطبيقات" (App Permissions). تلك النافذة ستُظهر المزايا التي يوفّرها الجهاز كمُستشعر نبضات القلب، الموقع الجغرافي، الكاميرا، الميكروفون، وغيرها. وهنا يُمكن للمُستخدم اختيار إحدى المزايا لمعرفة التطبيقات التي تستخدمها لتعطيل غير المرغوب بها. وبهذا الشكل يُمكن للمستخدم ضمان عدم تتبّع موقعه الجغرافي مثلا من قِبَل تطبيقات لا تحتاج إلى هذه الصلاحية بالأساس.
 
الصلاحيات في "آي أو إس"
يوفّر نظام "آي أو إس" كذلك نموذجه الخاص لعرض الصلاحيات المطلوبة. فبعد تثبيت التطبيق وفتحه للمرّة الأولى، ستبدأ رسائل التنبيه بالظهور لطلب إذن المُستخدم لاستخدام بعض التقنيات. كما ستظهر تلك الرسائل عندما يُحاول التطبيق استخدام أي تقنية لم يحصل على إذن لاستخدامها، أو في حالة تعديل الصلاحيات التي يُمكن للتطبيق الوصول إليها.
 
أما التطبيقات الموجودة سابقا على الجهاز، فإدارتها سهلة وبسيطة من داخل الإعدادات أيضا، فالبنزول إلى الأسفل سيظهر قسم خاص يحتوي على جميع التطبيقات الموجودة على الجهاز، وبمجرد الضغط على أحدها، تظهر جميع التفاصيل. من تلك النافذة، يُمكن للمُستخدم الاطلاع على كافة الصلاحيات وإلغاء ما يُريد بكل سهولة، كما تتوفّر تفاصيل كل صلاحية في النافذة نفسها، فطلب بيانات الموقع الجغرافي مثلا قد يحدث طوال الوقت أو خلال استخدام التطبيق فقط، وهذا أمر يُمكن للمُستخدم التحكّم به وتكراره في مُعظم الصلاحيات والأُذونات أيضا.
 
 
ومثلما هو الحال في أندرويد، يُمكن الاطّلاع على مزايا الجهاز لمعرفة التطبيقات التي تستفيد منها وذلك من خلال التوجّه إلى الإعدادات ثم الخصوصية (Privacy)، وبالضغط على إحدى المزايا، ولتكن سجل الأسماء (Contacts)، يُمكن للمستخدم معرفة جميع التطبيقات التي تمتلك صلاحيات قراءة الأسماء المُخزّنة على الجهاز، ثم تعطيل كل ما هو مُثير للريبة.
 
وتعمل آبل بصرامة في متجر التطبيقات، فقبول التطبيقات في متجر "آب ستور" (App Store) صعب جدا لأن آبل تُحلّل بنفسها الصلاحيات التي يطلبها التطبيق أولا، وفي حالة وجود شيء غير منطقي لا يحتاجه التطبيق تطلب إزالته فورا. كما تُطالب المُطوّر بتفصيل سبب طلب تلك الصلاحية، وهذا لعرض السبب داخل رسالة التنبيه التي ستظهر للمُستخدم. وبعد هذا كُلّه، يخضع التطبيق داخل آبل إلى مجموعة من الاختبارات لرصد وجود أكواد خبيثة تعمل دون علم المُستخدم، أو لرصد وجود تبادل سرّي للبيانات مع خوادم خارجية. وبهذا الشكل، يُمكن الحد قدر الإمكان من التطبيقات الخبيثة التي تسعى للتحايل على المُستخدمين.
 
تُبذل تلك الجهود للحد قدر الإمكان من أي مُمارسات خبيثة قد تعصف بخصوصية المُستخدمين. لكن هذا الأمر لا يُمكن إتمامه دون تعاون من المُستخدم، فيد واحدة لا تُصفّق، وتنتظر كل من غوغل وآبل من المُستخدمين تعاونهم أيضا وقراءة الصلاحيات قبل تثبيت التطبيق والموافقة على ما هو مطلوب فقط، لأن إحكام القبضة على أكثر من 5 ملايين تطبيق داخل متاجر التطبيقات أمر شبه مُستحيل ويحتاج إلى جهود مُشتركة من الشركات والمُستخدمين.
 
 



لمتابعة الموقع على التيلجرام @Mosnednews


تعليقات