لم تكن هذه المرّة الأولى التي يتصدّر فيها نظام أندرويد عناوين المقالات بسبب ثغرة جديدة تم العثور عليها، حاله حال بقيّة أنظمة التشغيل بطبيعة الحال. إلا أن الاختلاف هذه المرّة يكمن في عدم وجود أي مسؤولية على عاتق النظام والقائمين عليه، فالثغرة التي تسمح بقراءة التغريدات الخاصّة في تطبيق تويتر، والثانية التي تُتيح الاطّلاع على ملفّات المُستخدم كاملة عن طريق شبكات "واي فاي" (WiFi) لم تأتِ نتاجا لقصور أمني في واجهات أندرويد الأمنيّة.

   

"ثغرة في تويتر على أندوريد أتاحت قراءة التغريدات الخاصّة لمدة خمس سنوات"، بهذا العنوان خرج تقرير موقع "إينغادجت" (Engadget) المُتخصّص في تغطية الأخبار المُتعلّقة بالتقنية، ليتناقل مُستخدمو شبكات التواصل الاجتماعي الخبر مع التركيز على أندرويد أكثر من تويتر، ليُنسب القصور الأمني لنظام تشغيل غوغل عوضا عن مُهندسي تويتر الذين فشلوا في اكتشاف الثغرة التي بقيت مدفونة دون اكتشاف أمرها منذ خمس سنوات تقريبا⁽¹⁾⁽²⁾.

   

     

كشفت شركة تويتر بشكل رسمي عن الثغرة في 14 يناير/كانون الثاني بعد إصلاحها والتأكّد من عدم وجودها في نسخة التطبيق على المُتصفّح وعلى نظام "آي أو إس" (iOS)، فهي اعترفت بقصورها وأكّدت أن الثغرة موجودة منذ الثالث من نوفمبر/تشرين الثاني من عام 2014، وهذا بعد إطلاق تحديث جديد للتطبيق على نظام أندرويد⁽³⁾.

 

أما عن آلية عمل الثغرة، وعن الأضرار التي تسبّبت بها، فهي أتاحت قراءة تغريدات المُستخدمين الذين اختاروا أن تكون حساباتهم خاصّة (Private)، وهذا يعني أن التغريدات لن تظهر سوى للمُتابعين الذين يوافق عليهم صاحب الحساب، عوضا عن أن تكون عامّة للجميع. وتجدر الإشارة هُنا إلى أن الثغرة لم تُصب جميع مُستخدمي تويتر على أندرويد، بل أصابت المُستخدمين الذين قاموا بتغيير إعدادات الحساب في الفترة المذكورة أعلاه، فعلى ما يبدو، لم يقم التطبيق بإرسال خيار التغريدات الخاصّة لخوادم الشركة، لتظهر التغريدات للجميع دون علم المُستخدمين.

 

تويتر أخطرت جزءا ممن تضرروا جراء هذه الثغرة، مع مُطالبة البقيّة بالتوجّه إلى إعدادات الحساب والتأكّد من أن خيار التغريدات الخاصّة (Protect your Tweets) مُفعّل، وهذا فقط للراغبين بظهور ما يُشاركونه للمُتابعين الموافق عليهم. وإلا، أي في حالة الرغبة في ترك التغريدات متوفّرة للعموم، فالثغرة لن يكون لها تأثير أبدا، ولا توجد ضرورة بالأساس للتأكّد من الإعدادات.

 

يُمكن اعتبار ثغرة تطبيق أندرويد بسيطة جدا بعد النظر إلى الثغرة التي يفتحها تطبيق "إي إس فايل إكسبلورر" (ES File Explorer)، والتي تسمح، لأي شخص مُتصّل على الشبكة اللاسلكية نفسها التي يتّصل بها هاتف أندرويد، بسرقة الملفّات بما في ذلك الصور ومقاطع الفيديو المُخزّنة على ذاكرة الهاتف، أو على الذاكرة الخارجية⁽⁴⁾.

   

   

التطبيق بالأساس يُتيح للمُستخدمين إدارة ملفّاتهم الموجودة على الجهاز، تماما مثل الأدوات التي توفّرها أنظمة تشغيل الحواسب، فالمُستخدم بإمكانه إنشاء مُجلّدات لترتيب الصور ضمنها، أو إخفاء بعضها، دون نسيان إمكانية تبادل الملفّات مع أجهزة أُخرى بكل سهولة. المُشكلة تكمن في وجود خادم سرّي داخل التطبيق يعمل على المنفذ 59777 يضع خصوصيّة المُستخدم في مهبّ الريح.

 

لكل جهاز مُتّصل بشبكة الإنترنت عنوانه الإلكتروني (IP) الخاص لتمييزه عن بقيّة الأجهزة، وهذا يعني أن الهاتف الذكي سيحصل على عنوانه الخاص وليكن "192.168.1.20" على سبيل المثال لا الحصر. وجود التطبيق، وبسبب الثغرة التي اكتُشفت، يعني أن طلب المنفذ 59777 مُمكن، وهذا على الشكل "192.168.1.20:59777″، وبالتالي الوصول لملفّات المُستخدم.

 

الطلب السابق يُمكن القيام به أي شخص يتّصل على الشبكة نفسها، ومع وجود أدوات قادرة على ترجمة البيانات التي يُرسلها ذلك المنفذ، يُمكن تنفيذ الكثير من العمليات ومنها معرفة التطبيقات الموجودة على الهاتف، وقراءة الملفّات ونسخها، وهذا دون علم صاحب الجهاز بالأساس.

   

   

الثغرة موجودة في النسخة 4.1.9.7.4 وما قبلها. والقائمون على التطبيق أكّدوا أنهم أغلقوها بشكل كامل وأرسلوا التحديث لشركة غوغل لنشره على المتجر، بانتظار الموافقة عليه، وهنا يُنصح بالتحديث فورا والتأكّد من استخدام أحدث نسخة من التطبيق⁽⁵⁾. الجدير بالذكر هُنا أن محمد عبد الباسط، وهو مُختصّ في مجال الأمن الرقمي، أكّد أنهم عثروا على ثغرة مُشابهة في تطبيق "إير درويد" (AirDroid)، وهو تطبيق يُتيح إدارة الأجهزة العاملة بنظام أندرويد عن طريق الحاسب⁽⁶⁾، إلا أن هذا لا يعني أن اللوم يقع على نظام أندرويد.

     

    

لأجل مثل هذه الحالات ينصح الخبراء دائما بتحديث أنظمة التشغيل والتطبيقات أولا بأول، فتجاهل هذا الأمر يفتح بابا من الثغرات الأمنية لا حصر له. وفي حالة تعذّر تثبيت التحديثات من المتجر لسبب أو لآخر، يُمكن اللجوء لبدائل مضمونة تُتيح إمكانية تحميل جميع التطبيقات بأحدث إصداراتها فور صدورها.