مايكروسوفت تكتشف ثغرة أمنية جديدة في أندرويد تؤثر على أكثر من 4 مليارات تنزيل

تحذر مايكروسوفت مستخدمي أندرويد ومطوريه من نمط ثغرات اكتُشف في عديد من التطبيقات على متجر Google Play. وتؤثر الثغرة المحتملة على أكثر من 4 مليارات تطبيق مُثبَّت حول العالم، كما ورد في تقرير حديث.

وكشفت مايكروسوفت عن اثنين من أكبر التطبيقات المتأثرة: WPS Office المُثبَّت على أجهزة المستخدمين أكثر من 500 مليون مرة، ومدير الملفات من Xiaomi Inc المثبت أكثر من مليار مرة. وأُبلغت الشركتان في فبراير من هذا العام وأصلحتا المشكلة منذ ذلك الحين.

يعترف التقرير بأن عديدًا من التطبيقات الأخرى المُثبَّتة أكثر من 500 مليون مرة قد تكون متأثرة، ولكن لم يُذكر أيٌّ منها بالاسم.

هذه الثغرة الأمنية المسماة بهجوم “Dirty Stream” رُصدت في أحد مكونات مزودي المحتوى، وهو مكون يسمح للتطبيقات بمشاركة المعلومات. فالثغرة في هذا المكون تُعرِّض التطبيقات للخطر لأن المهاجمين الخبيثين يمكنهم السيطرة على التطبيق والوصول إلى الرموز المميزة على تطبيقات المستخدمين. وكما أوضح خبراء مايكروسوفت في الإعلان الصادر يوم 1 مايو، فإن العواقب قد تختلف وتعتمد على كيفية تنفيذ التطبيقات للمكون.

بالتعاون مع مايكروسوفت، كشفت Google عن هذه الثغرة ونشرت تقرير مخاطر الأمان على منصة Android Studio للمطورين، لتوفر مزيدًا من المعلومات والنصائح عن كيفية تجنب الثغرات المستقبلية وإصلاح الثغرات الحالية.

إعلان مايكروسوفت ليس مجرد تحذير لمليارات المستخدمين المحتمل تأثرهم، فهو أيضًا دعوة لشركات التكنولوجيا الكبيرة الأخرى ومطوري التطبيقات إلى العمل معًا لتوفير أمان أفضل للتطبيقات على امتداد مجال تطوير التطبيقات. وورد في بيان مايكروسوفت أنها لا تكتفي بتقديم إرشادات لمستخدمي التطبيقات ومطوريها، بل تهدف أيضًا إلى “توضيح أهمية التعاون لتحسين الأمان للجميع”.

كذلك يوفر تقرير مايكروسوفت إرشادات لمستخدمي أندرويد، والاقتراح الأبرز هو الحرص على تثبيت أحدث الإصدارات الحالية من التطبيقات.

كما في البيان أمثلة عملية للمشكلة باستخدام دراسة حالة أُجريت على مدير الملفات من شركة Xiaomi Inc بصفته مرجعًا. ويشرح كيف يمكن لتطبيق خبيث أن يتصرف في أسوأ السيناريوهات: “بالإضافة إلى استحواذ التطبيق على صلاحية الوصول الكامل إلى وحدة التخزين الخارجي للجهاز، فإنه يطلب عديدًا من الأذونات، ومنها القدرة على تثبيت تطبيقات أخرى.”

ومع ذلك، كما تؤكد مجلة Forbes، لا شيء في أيدي المستخدمين سوى البقاء على اطلاع وتحديث تطبيقاتهم واتباع توصيات مايكروسوفت: “يجب على المستخدمين ألا يثبّتوا التطبيقات إلا من مصادر موثوقة لتجنب التطبيقات الخبيثة المحتملة.”