هل شاهدت التصميم الجديد لصفحتنا الرئيسية؟

انضم إلينا
اغلاق
وداعًا ”غوغل بلس“.. ثغرة أمنية تقتل أداة غوغل الاجتماعية

وداعًا ”غوغل بلس“.. ثغرة أمنية تقتل أداة غوغل الاجتماعية

فراس اللو

محرر تقنية
  • ض
  • ض

ذهبت جهود شركة غوغل في التسريب التدريجي لمواصفات هواتف ”بكسل 3“ (Pixel 3) أدراج الرياح بعدما قامت صحيفة ”وول ستريت جورنال“ (Wall Street Journal) بصفعها قبل 24 ساعة من المؤتمر عبر نشر وثائق تؤكّد تكتّمها على ثغرة أمنية في شبكة ”غوغل بلس“ (Google+) سمحت للمُطوّرين بالوصول إلى معلومات شخصيّة خاصّة(1)، لتنضم بذلك إلى كل من شبكة فيسبوك التي قامت بنفس الأمر، وأمازون وآبل اللاتي صُفعت هي الأُخرى بتقرير من وكالة ”بلومبيرغ“ يؤكّد تعرّض خوادمها لاختراق صيني خلال السنوات الماضية.

   

الواجهات البرمجية

تمكّنت شبكة فيسبوك الاجتماعية، ومثلها تويتر وبعض الشبكات الأُخرى، من الوصول إلى شريحة كبيرة جدًا من المُستخدمين بفضل الانتشار الكبير على مستوى شبكة الإنترنت. وهنا الحديث ليس عن استخدام الشبكة الاجتماعية ذاتها، بل عن القيمة التي سيحصل عليها مُستخدمو تلك الشبكة، وتحديدًا فكرة الحساب الموحّد الذي يسمح للمُستخدم بتسجيل الدخول في خدمات أُخرى، فمُعظم تطبيقات الهواتف الذكية توفّر إمكانية تسجيل الدخول عبر حساب فيسبوك على سبيل المثال، وبالتالي التخلّص من ضرورة إنشاء حساب جديد في كل تطبيق على حدة.

    

تلك الميّزة مُمكنة عبر ما يُعرف بالواجهات البرمجية (Application Programming Intertface)، أو ”إيه بي آي“ (API) اختصارًا، وهي عبارة عن أدوات توفّرها الشركة لمُطوّري التطبيقات لتضمينها داخل تطبيقاتها. وعوضًا عن تطوير نظام لتسجيل حساب جديد، أو لتسجيل الدخول من الصفر، يُمكن ببضعة أسطر برمجية إضافة زر تسجيل الدخول باستخدام حساب الشبكة الاجتماعية وتنتهي الحكاية.

 

استخدام تلك الواجهات البرمجية ليس عشوائيًا أبدًا، فالمُطوّر يحتاج لتسجيل تطبيقه وتزويد الشبكة الاجتماعية ببعض البيانات والضمانات مع توقيعه على اتفاقية الاستخدام أيضًا التي يتعهّد فيها بعدم تخزين بيانات المُستخدم أو جمعها دون إبلاغ المُستخدمين عن هذا الأمر. وفي حالة فضيحة فيسبوك مع شركة ”كامبريدج آناليتيكا“ (Cambridge Analytica)، فإن ما حدث هو استغلال لتلك الواجهات البرمجية، فالشركة قامت باستخدام تلك الواجهات ومن ثم تخزين بيانات المُستخدمين على خادم خارجي قبل بيع تلك البيانات لجهات أُخرى، وهو أمر تمنعه سياسة فيسبوك، إلا أنها علمت بالأمر وتكتّمت عنه بشكل كامل، لتبدأ حكايتها مع مجلس الشيوخ الأمريكي، ومن ثم دور القضاء في مناطق مُتفرّقة حول العالم بعدما تقدّمت الكثير المُنظّمات الحقوقية بدعاوى تُطالب فيها بتعويضات مالية.

  

   

وبالعودة إلى شبكة ”غوغل بلس“ من جديد، فإن ما حدث هو نفس الأمر تقريبًا، إلا أن الخطأ كان من غوغل نفسها، فتسريب البيانات جاء بسبب خطأ برمجي وليس بسبب الإساءة في استخدام الواجهات البرمجية من قبل أحد المُطوّرين مثلما حصل مع فيسبوك.

 

سرقة بيانات خاصّة

على خلفية الاختراقات الأمنية وقضايا التجسّس، بدأت شركة غوغل مشروع جديد باسم ”ستروب“ (Strobe)، وهو عبارة عن برنامج أمني يضم تحت مظّلته أكثر من مئة مُهندس وباحث أمني، بالإضافة إلى بعض الحقوقيين، مهمّتهم الرئيسية هي فحص الواجهات البرمجية والخدمات التي تُقدّمها غوغل، وهذا للحد قدر الإمكان من الثغرات الأمنية وإغلاقها بشكل فوري. لكن وبسبب حداثة عهد هذا المشروع، فإن ثغرة ”غوغل بلس“ الأمنية موجودة منذ عام 2015 ولم يدري عنها أحد(2).

 

بشكل عام، وعندما يضغط المُستخدم داخل أحد التطبيقات على زر تسجيل الدخول باستخدام حسابه في ”غوغل بلس“، فإن رسالة تأكيد تظهر تطلب منه الموافقة على الصلاحيات التي يطلبها التطبيق، والتي هي في العادة البيانات العامّة على غرار الاسم، والصورة الشخصية، بالإضافة إلى العمر والبريد الإلكتروني. خصوصية تلك البيانات أساسًا بيد المُستخدم، وهو قادر على ضبطها على أنها خاصّة ليمنع بذلك أي تطبيق من الوصول لها.

   

  

لكن ومنذ عام 2015، ونظام تسجيل الدخول في ”غوغل بلس“ لا يعمل بهذا الشكل، وتحديدًا عندما يتعلّق الأمر ببيانات الأصدقاء على شبكة غوغل الاجتماعية. فلو قام المُستخدم الأول بتسجيل حساب في شبكة غوغل ومن ثم تعبئة بعض البيانات الشخصية مثل الحالة الاجتماعية، والعمل، بالإضافة إلى بريده الإلكتروني وموقعه الجغرافي، مع ضبطها على أنها سرّية وتظهر فقط لبعض الأصدقاء، فإن بعض التطبيقات كانت قادرة على الوصول لتلك البيانات، ليس عند طريق المُستخدم ذاته، بل عن طريق أصدقاءه، أي أن الثغرة سمحت للتطبيقات بالوصول إلى بيانات الأصدقاء السرّية، في سيناريو مُشابه تمامًا لما حدث مع فيسبوك قبل أعوام. أما آلية العمل(3)، فهي على الشكل الآتي:

 

المُستخدم الأول (أ) يقوم بتسجيل حساب في ”غوغل بلس“ مع تعبئة بياناته الخاصّة ومشاركتها مع مجموعة مُحدّدة من الأصدقاء، بما في ذلك المُستخدم الثاني (ب).

المُستخدم الثاني (ب) يقوم بتسجيل الدخول باستخدام حسابه في ”غوغل بلس“ في أحد التطبيقات.

التطبيق، وبسبب الثغرة، كان قادرًا على الوصول إلى بيانات المُستخدم (أ) الشخصية التي تم ضبطها سابقًا على أنها خاصّة. وهذا دون علم لا المُستخدم (ب) ولا حتى المُستخدم (أ).

 

جلد الذات

سعت غوغل منذ إطلاق شبكة ”بلس“ الاجتماعية إلى مُنافسة فيسبوك بأي شكل من الأشكال، مع تقديم بعض الميّزات المُقتبسة من تويتر على أمل تقديم مُنتج يُساعدها على دخول مُعترك الحياة الاجتماعية الافتراضية، وتلك مهمّة فشلت فيها خلال السنوات الماضية، لكنها أصرّت على الاستمرار حتى دون تقديم ميّزات جديدة لحين معرفة الخطوة القادمة.

 

لم تستح غوغل في بيانها الأخير(2)، الذي تحدّثت فيه عن اكتشاف الثغرة في (مارس/آذار) 2018 وعن إغلاقها دون إبلاغ المُستخدمين، من القول بأن 90٪ من مُستخدمي ”غوغل بلس“ يدخلون لفترة لا تزيد عن خمس ثوان فقط، وهو سبب كافي بالنسبة لها في الوقت الراهن لإغلاق الشبكة الاجتماعية أمام المُستخدمين العاديين. وإضافة لما سبق، وجدت الشركة في الثغرة الأمنية أفضل وقت للإعلان عن الإغلاق، فالشعور بالذنب قد يقيها الكثير من التأويلات في الوقت الراهن، خصوصًا بعد المصير الذي آلت إليه شبكة فيسبوك الاجتماعية قبل أشهر قليلة فقط.

    

  

بحسب بيانات غوغل، فإن أكثر من 500 ألف مُستخدم قد يكونوا عُرضة لتلك الثغرة، فالشبكة لا تمتلك بيانات كافية لأنها تقوم بحذف سجل العمليات كل 14 يوم، وهذا حفاظًا على الخصوصية. وبما أن أكثر من 400 تطبيق اعتمدوا على الواجهة البرمجية المُصابة، فإن تحديد المُتضرّرين أمر صعب ومُستحيل. ومن هنا، فإن إغلاق الشبكة الاجتماعية بالكامل هو الحل الأمثل حاليًا.

 

وبالحديث عن المُتضرّرين، فإن الشبكة الاجتماعية تشاورت مع المُختصّين في المجال القانوني بعد اكتشاف الثغرة من أجل إخطار المُستخدمين، إلا أن كون البيانات شخصيّة فقط ولا تحتوي على أشياء حسّاسة مثل كلمات المرور، أو بطاقات الائتمان، فالشركة غير مُجبرة قانونيًا على هذا الأمر. ومن هنا، فضّلت التكتّم بشكل كامل وإغلاق الثغرة. ليخرج تقرير الصحيفة الأمريكية ويكشف المستور بالتزامن مع كشف الشركة ذاتها عن مشروع ”ستروب“ الذي ساهم في اكتشاف تلك الثغرة بالأساس.

 

المُحصّلة النهائية هي إغلاق ”غوغل بلس“ بشكل فوري، مع إمكانية تحميل البيانات الشخصية والمُشاركات منها حتى (أغسطس/آب) المُقبل، عام 2019، على أن تبقى الشبكة مُتاحة لبعض الشركات فقط. أما البيانات المُسرّبة، وبسبب عدم أهمّيتها، فهي لن تؤثّر -كثيرًا- على خصوصية المُستخدمين. إلا أن هذه الثغرة قد تفتح التساؤلات في وجه غوغل، بعدما فُتح سابقًا في وجه فيسبوك وتويتر. والتكتّم الذي انتهجه ”سوندار بيتشاي“، الرئيس التنفيذي لشركة غوغل، خوفًا من المثول أمام مجلس الشيوخ الأمريكي مثل ”زوكربيرغ“(4)، قد يكون هو السبب الذي سيضع غوغل تحت أعين الرقابة القانونية، وهي التي بقيت في الظلّ خلال الحوادث الأمنية الأخيرة دون أن يُذكر اسمها أبدًا.

تقارير متصدرة


اّخر الأخبار