اكتشف خبراء الأمن للتو خللًا كبيرًا في هواتف Google Pixel

تعمل شركة جوجل على إصلاح ثغرة خطيرة على مستوى البرامج الثابتة كانت موجودة في ملايين الهواتف الذكية Pixel المباعة في جميع أنحاء العالم منذ عام 2017. وقالت الشركة لصحيفة واشنطن بوست: “من باب الحيطة والحذر، سنقوم بإزالة هذه الثغرة من جميع أجهزة Pixel المدعومة في السوق مع تحديث برنامج Pixel القادم”.

إن المشكلة الأساسية هنا هي حزمة تطبيقات تسمى Showcase.apk، وهي عنصر من عناصر البرامج الثابتة لنظام أندرويد والتي تتمتع بالقدرة على الوصول إلى امتيازات متعددة للنظام. وفي العادة، لا يستطيع مستخدم الهاتف الذكي العادي تمكين هذه الحزمة أو التفاعل معها بشكل مباشر، ولكن أبحاث iVerify أثبتت أن أي شخص سيئ يمكنه استغلالها لإلحاق بعض الأضرار الجسيمة.

وتقول الشركة إن “الثغرة تجعل نظام التشغيل متاحًا لمجرمي الإنترنت لتنفيذ هجمات الوسيط وحقن البرامج الضارة وتثبيت برامج التجسس”. وكشفت شركة الأمن أن الخلل يفتح الباب لتنفيذ التعليمات البرمجية عن بُعد وتثبيت الحزم عن بُعد.

وهذا يعني أن الفاعل السيئ يمكنه تثبيت البرامج الضارة على جهاز مستهدف دون أن يكون لديه وصول فعلي إليه. ويمكن لمجرمي الإنترنت بعد ذلك إطلاق أشكال مختلفة من الهجمات اعتمادًا على البرامج الضارة التي تم حقنها، والتي تشمل، على سبيل المثال لا الحصر، سرقة البيانات الحساسة أو الاستيلاء على النظام.

تكمن المشكلة الأساسية في أن Showcase.apk يقوم بتنزيل أصول التكوين عبر اتصال HTTP غير آمن، مما يجعله عرضة للهجمات الخبيثة. وما يجعل الأمر أكثر إثارة للخوف هو أن المستخدمين لا يمكنهم إلغاء تثبيته مباشرة كما يمكنهم إزالة التطبيقات الأخرى المخزنة على هواتفهم.

مشكلة بكسل جدا
إذن، كيف يتم تضمين Google Pixel في التسلسل بأكمله، وليس كل هواتف Android على هذا الكوكب؟ حسنًا، تأتي حزمة Showcase.apk مثبتة مسبقًا في البرامج الثابتة الخاصة بـ Pixel وهي أيضًا مكون أساسي لصور OTA التي تصدرها Google علنًا لتثبيت تحديثات البرامج – خاصة أثناء عملية التطوير المبكرة.

تشير iVerify إلى وجود طرق متعددة يمكن للمخترق من خلالها تمكين الحزمة، حتى لو لم تكن نشطة بشكل افتراضي. قد تواجه Google انتقادات شديدة في أعقاب الكشف عن هذه المعلومات لأسباب متعددة.

أولاً، تقول شركة iVerify إنها أخطرت Google باكتشافها المثير للقلق قبل 90 يومًا من نشره للجمهور، لكن Google لم تقدم تحديثًا بشأن موعد إصلاح الخلل – مما يعرض ملايين أجهزة Pixel المباعة في جميع أنحاء العالم للخطر. ثانيًا، كان أحد الأجهزة التي تم تصنيفها على أنها غير آمنة قيد الاستخدام النشط في Palantir Technologies، وهي شركة تحليلات حصلت مؤخرًا على عقد بقيمة نصف مليار دولار تقريبًا من وزارة الدفاع الأمريكية لصنع أنظمة الرؤية الحاسوبية للجيش الأمريكي.

الآن، من أجل التوضيح فقط، لا يشكل Showcase.apk في حد ذاته مشكلة. بل إن المشكلة تكمن في الطريقة التي يقوم بها بتنزيل ملفات التكوين عبر اتصال HTTP غير آمن، وهو ما اعتبر بمثابة دعوة مفتوحة للمتسللين للتجسس. ولإعطائك فكرة عن التهديد، يحذر متصفح Chrome التابع لشركة Google المستخدمين في كل مرة يزورون فيها موقعًا على الويب باستخدام بروتوكول HTTP القديم بدلاً من بنية HTTPS الأكثر أمانًا.

هذا خطير
وبغض النظر عن وسيلة التهديد، فإن ما قد يوقع شركة جوجل في مشكلة هو أن الهواتف الذكية Pixel المعرضة للخطر كانت قيد الاستخدام النشط من قبل شركة مقاولات دفاعية، وهو ما قد يعرض الأمن القومي للخطر من الناحية النظرية. وليس من الصعب أن نتخيل السبب وراء ذلك.

ما عليك سوى إلقاء نظرة على كيفية حظر تطبيق TikTok للموظفين الفيدراليين في ولايات متعددة، مستشهدين بمخاوف أمنية وطنية مماثلة. قال دان ستوكي، كبير مسؤولي أمن المعلومات في Palantir، لصحيفة The Post: “إنه أمر مزعج حقًا. من المفترض أن تكون هواتف Pixel نظيفة. هناك مجموعة من الأشياء الدفاعية المبنية على هواتف Pixel”.

تم إنشاء التطبيق بواسطة شركة Smith Micro لصالح شركة الاتصالات العملاقة Verizon لضبط الهواتف في وضع العرض التوضيحي لمتاجر التجزئة. وعلاوة على ذلك، نظرًا لأن التطبيق نفسه لا يحتوي على أي كود ضار، فمن المستحيل تقريبًا أن تقوم تطبيقات أو برامج مكافحة الفيروسات بتصنيفه على أنه ضار. من ناحية أخرى، تقول Google إن استغلال الخلل يتطلب الوصول الفعلي ومعرفة رمز المرور الخاص بالهاتف.

ومع ذلك، أثار تطبيق iVerify أيضًا تساؤلات حول الانتشار الواسع للتطبيق. عندما تم تطويره للوحدات التجريبية بناءً على طلب Verizon، لماذا كانت الحزمة جزءًا من البرامج الثابتة لجهاز Pixel على الأجهزة، وليس فقط تلك المخصصة لمخزون شركة الاتصالات؟

بعد إجراء تدقيق أمني، قامت شركة Palantir بإزالة جميع أجهزة Android من أسطولها وتحولت حصريًا إلى أجهزة iPhone، وهو التحول الذي سيكتمل خلال السنوات القليلة القادمة. ولحسن الحظ، لم يكن هناك أي دليل على استغلال ثغرة Showcase.apk من قبل جهات سيئة.