خطر تسرب الشهادات: كيف يمرر القراصنة التطبيقات الضارة
مقدمة حول تسرب الشهادات الرقمية
في عالم التكنولوجيا الحديث، حيث تزداد التهديدات السيبرانية بشكل متسارع، أصبح القراصنة يستخدمون أساليب متطورة لتجاوز الحواجز الأمنية. واحدة من هذه الأساليب هي استخدام الشهادات الرقمية الخاصة بالمنصات الأصلية (OEM) والتي تم تسريبها، مما يسمح لهم بتمرير التطبيقات الضارة وكأنها شرعية.
ما هي الشهادات الرقمية الخاصة بالمنصات الأصلية؟
تعتبر الشهادة الرقمية، التي تعرف أيضًا بمفتاح المنصة، هي المفتاح الذي يتم استخدامه لتوقيع التطبيقات على صورة النظام. كما يوضح لوكاس سيفيرسكي، مهندس العكس في فريق أمان أندرويد في جوجل، فإن "التطبيقات التي تعمل على نظام أندرويد تعمل تحت هوية مستخدم ذات امتيازات عالية – android.uid.system – ولديها صلاحيات نظام تشمل الوصول إلى بيانات المستخدم." هذا يعني أن أي تطبيق آخر يتم توقيعه بنفس الشهادة يمكنه أن يطلب التشغيل بنفس هوية المستخدم، مما يمنحه نفس مستوى الوصول إلى النظام.
كيف يستغل القراصنة الشهادات المسروقة؟
عندما يتم توقيع البرمجيات الضارة بشهادة منصة شرعية، يستطيع القراصنة فعليًا منح أنفسهم "مفتاح" الوصول إلى الجهاز بالكامل. وهذا يعني الوصول غير المحدود إلى البيانات المخزنة. كما يمكنهم دفع برمجيات ضارة مغلفة في شكل تحديثات للتطبيقات الموجودة، دون أن تكتشف الأنظمة الأمنية المدمجة في الجهاز، حيث إن البرمجيات ستكون موقعة رقميًا بالشهادة المنصة.
تحذيرات جوجل
قدمت جوجل قائمة تحتوي على عشرة نماذج من البرمجيات الضارة مع الهاشات الخاصة بها. ومع ذلك، لا يزال من غير الواضح كيف تم تسريب هذه الشهادات أو أين تم اكتشاف البرمجيات الضارة بالضبط، سواء كانت موزعة سابقًا على متجر جوجل بلاي، أو أي متاجر طرف ثالث، أو مواقع توزيع APK.
نماذج البرمجيات الضارة
تتضمن التطبيقات العشرة المليئة بالبرمجيات الضارة أنواعًا متعددة مثل خاصيات سرقة المعلومات، والبرمجيات القابلة للنقل، والتروجان. إليك قائمة ببعض هذه التطبيقات:
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh.Search
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
تحقيقات جارية
أشار أرتيم روساكوفسكي من APKMirror إلى أن بعض نماذج البرمجيات الضارة التي تم شرعنتها بشهادة سامسونج تعود إلى عام 2016. مما يثير التساؤلات حول ما إذا كانت هناك تسريبات قديمة لم يتم اكتشافها حتى الآن.
موقف سامسونج
صرحت سامسونج بأنها تأخذ أمان أجهزة جالاكسي بجدية، مشيرة إلى أنها أصدرت تحديثات أمنية منذ عام 2016 بعد أن تم إبلاغها بالمشكلة. ومع ذلك، يثير تصريحهم المزيد من التساؤلات حول ما إذا كانت الشركة قد انتظرت وقوع أي حوادث أمنية قبل معالجة المشكلة.
حجر ورق مقص الحلقة 17
إجراءات جوجل
قالت جوجل إنها قامت بإبلاغ جميع الشركات المتأثرة، وأنهم اتخذوا تدابير تصحيحية. وأوصت الشركات بتدوير الشهادة المنصة واستبدالها بمجموعة جديدة من المفاتيح العامة والخاصة. كما أوصت بتقليل عدد التطبيقات الموقعة بشهادات المنصة لتقليل تكاليف تدوير المفاتيح في المستقبل.
خاتمة
في عالم يتزايد فيه الاعتماد على التطبيقات الرقمية، يجب أن نكون على دراية بالمخاطر المحتملة ونتخذ الاحتياطات اللازمة لحماية بياناتنا. إن عدم الانتباه للتفاصيل الصغيرة قد يؤدي إلى تسريبات كبيرة. لذا، ابق حذرًا وتأكد من تحديث جهازك بانتظام.
