انضم إلينا
اغلاق
بعد اختراق بصمة الإصبع والتحقّق بخطوتين.. كيف نحمي أجهزتنا الذكية؟

بعد اختراق بصمة الإصبع والتحقّق بخطوتين.. كيف نحمي أجهزتنا الذكية؟

فراس اللو

محرر تقنية
  • ض
  • ض

مع اقتراب 2019 من نهايتها، وعلى الرغم من الثورة التقنية الحاصلة في مجال الأمان الرقمي التي نتجت عنها تقنية بصمة الوجه وبصمة الإصبع تحت الشاشة، فإن الوسيلة الأكثر أمنا لحماية الأجهزة الذكية في وقتنا الراهن ما زالت هي كلمة المرور، أولا لأن القانون لا يُمكنه إجبار أي شخص على مُشاركة رمز القفل مع العناصر الأمنية، وثانيا لأن الوسائل الأكثر تطوّرا -مثل بصمة الإصبع والتحقّق بعاملين (Two-factor authentication)- لم تنضج بالشكل الكافي، وهو ما سمح للمُخترقين بتجاوزها.

   

التحقّق بخطوتين

وفّرت خاصيّة التحقّق بخطوتين مستوى حماية عاليا جدا لحسابات المُستخدم على الإنترنت(1)، فعوضا عن الاعتماد على كلمة المرور فقط، يقوم النظام أيضا بإرسال رمز أمان إلى هاتف المُستخدم، أو إلى بريده الإلكتروني، لإتمام عملية تسجيل الدخول، وإلا فإن النظام سيرفض العملية. ما سبق يعني أن المُخترق حتى وإن حصل على كلمة مرور المُستخدم لن يكون بمقدوره الدخول إلا بعد كتابة رمز الأمان المُرسل إلى هاتف المُستخدم، الأمر الذي يجعل العملية أكثر تعقيدا، أو على الأقل هذا ما كنّا نعتقده إلى أن ذكر مكتب التحقيقات الفيدرالي (FBI) عكس ذلك(2).

  

لم تحمل تحذيرات مكتب التحقيقات الفيدرالي شيئا جديدا في حقيقة الأمر، ففي شهر سبتمبر/أيلول 2019 تعرّض حساب الرئيس التنفيذي لشبكة تويتر، "جاك دورسي" (Jack Dorsey)، للاختراق على الرغم من تفعيل خاصيّة التحقّق بخطوتين، وهذا عبر أسلوب يُعرف باستبدال الشريحة (SIM Swap)، والذي يقوم المُخترق من خلاله، بعد جمع كميّة كبيرة من المعلومات عن المُستخدم، بالتحايل على شركة الاتصالات للحصول على شريحة برقم هاتف الشخص المُستهدف نفسه، وهذا يعني أنه بعد إدخال كلمة مرور الحساب، سيستلم المُخترق رسالة تحتوي على رمز الأمان، ليقوم بإدخاله وإتمام عملية تسجيل الدخول بنجاح دون أن يشعر النظام بوجود أي تحايل.

   

  

العملية السابقة، أي استبدال الشريحة، تتطلّب جمع أكبر قدر مُمكن من المعلومات الشخصيّة عن الضحيّة، فالمُخترق يحتاج إلى معرفة بيانات مثل تاريخ الميلاد، العنوان، اسم الأب والأم، الهاتف المُستخدم، العمل، ورُبّما الأرقام الأربعة الأخيرة من بطاقة ائتمان المُستخدم، وهذا لإقناع الموظّف في شركة الاتصالات أنه الشخص الحقيقي لإتمام عملية الاستبدال بنجاح. وتجدر الإشارة هُنا إلى أن جمع بيانات المُستخدم عبر مواقع مثل فيسبوك، وبعض التطبيقات الأُخرى، سيجعل العملية أسهل مع مرور الوقت، لأن تلك البيانات تُباع على شبكة الإنترنت ويُمكن العثور عليها في الويب المُظلم (Dark Web) الذي يُعتبر الملاذ الآمن للمُخترقين(3).

   

وبعيدا عن استبدال الشريحة، فإن التجسّس على أجهزة المُستخدم الذكية مُمكن هو الآخر، فبمجرّد إرسال روابط خبيثة ضمن رسائل قصيرة تبدو أنها من جهات رسمية، يُمكن تثبيت برمجيات خبيثة تُتيح معرفة كل ما يحدث في الجهاز واعتراض أي رسالة يستلمها المُستخدم للاطلاع على محتواها، وبالتالي يُمكن تخطّي خاصيّة التحقّق بعاملين بسهولة كبيرة، دون أن يدري المُستخدم، ولعل هجمات شركة "إن إس أو" (NSO)، ومقرّها الكيان الصهيوني التي كانت مسؤولة عن استهداف نُشطاء وصحفيين إماراتيين، خير مثال على هذا النوع من الهجمات وثمارها(4).

   

اختراق بصمة الإصبع بأقل من 20 دقيقة!

  

اعترض البعض على عدم وجود مُستشعر لقراءة بصمة الإصبع في هواتف "بكسل 4" (Pixel 4) الجديدة التي أطلقتها غوغل مؤخّرا، وهذا مُقابل الاعتماد على بصمة الوجه فقط، وهي وسيلة غير آمنة 100٪ ويُمكن اختراقها، على الأقل في هواتف غوغل الذكيّة(5). لكن هل هذا يعني أن بصمة الإصبع فعلا آمنة ولا يُمكن اختراقها أو التحايل عليها؟

   

بحسب مُختبرات "إكس" (X-Lab)، التابعة لشركة "تينسينت" (Tencent) الصينية أو غوغل الصين كما يُطلق عليها، فإن وضع مُستشعر لقراءة بصمة الإصبع في الهواتف الذكية لا يعني أنها غير قابلة للاختراق، فالعملية مُمكنة خلال فترة لا تتجاوز 20 دقيقة، وهذا عبر استعراض حيّ جرى خلال مؤتمر (GeekPwn 2019) المُتخصّص في مجال الأمان الرقمي(6).

  

العملية على أرض الواقع تعتمد على معدّات بتكلفة لا تزيد على 150 دولارا أميركيا بحسب الباحثين، وتبدأ من تطبيق خاص يقوم بالتقاط صورة لبصمة إصبع المُستخدم بعد مُلامسته لأسطح مثل الزجاج على سبيل المثال لا الحصر، وهو تطبيق يعتمد على تقنيات الذكاء الاصطناعي بنسبة كبيرة لتحسين جودة الصورة وبناء خارطة ثلاثية الأبعاد للبصمة قبل طباعتها باستخدام طابعة ثلاثية الأبعاد.

    

   

العملية قد تبدو مُعقدّة، إلا أنها بسيطة جدا عند الرغبة في استهداف شخص ما، فلو قام الشخص المُستهدف بدفع باب المتجر بيده، أو بالضغط على شاشة الصرّاف الآلي بإصبعه، سيُصبح بإمكان المُخترق فتح التطبيق لقراءة البصمة وإعادة تشكيلها من جديد، ليبقى العائق الوحيد هو الوصول لهاتف الضحيّة، أو حاسبه، لفتح قفله وسرقة البيانات الموجودة بداخله، وتلك عملية مُمكنة عند الرغبة الجادّة في استهداف شخص ما. ومَن يدري، قد يقوم التطبيق بجمع أكبر قدر مُمكن من البصمات لبيعها فيما بعد في الويب المُظلم بحيث يحتاج المُخترق إلى طباعتها فقط لفك قفل الجهاز فورا.

   

وتجدر الإشارة هنا إلى أن تلك الطريقة نجحت مع المُستشعرات التي تعمل بالأمواج فوق الصوتية، والعاملة بالليزر، بالإضافة إلى تلك التي تعتمد على إنشاء حقل مغناطيسي بين البصمة والمُستشعر، وبالتالي فإن جميع الهواتف دون استثناء عُرضة لهذا النوع من العمليات.

   

السيناريو الأول، أي تجاوز خاصيّة التحقّق بخطوتين، يبقى أكثر عُرضة للحدوث لأنه يتم عن بُعد، ولا يحتاج إلى وجود الجهاز بين يدي المُخترق. أما في السيناريو الثاني، فالمُخترق يحتاج أولا إلى تتبّع المُستخدم لسرقة بصمة إصبعه ومن ثم الحصول على جهازه، وهو أمر لن يحدث إلا لو كانت الشخصيّة المُستهدفة ذات أهميّة كبيرة، أو على الأقل هذا ما نُعزّي به أنفسنا.

   

ماذا عن بصمة الوجه؟

  

بما أن الحديث عن الأمان الرقمي، فلا يُمكننا في 2019 تجاهل خاصيّة التعرّف على الوجه (بصمة الوجه) التي أصبحت الوسيلة الأوّلية لتأمين هواتف آيفون الجديدة، و"بكسل 4" كذلك، وغيرها من الأجهزة كذلك.

   

مع صدور "آيفون إكس" (iPhoneX)، أول هواتف آبل التي تخلّت عن بصمة الإصبع بشكل كامل، فإن تقنية "فيس آي دي" (Face ID) المسؤولة عن قراءة وجه المُستخدم عانت من بعض المشكلات التي نجحت آبل في مُعالجتها، تارة عبر تحديثات للنظام، وتارة أُخرى عبر تطوير المُستشعرات نفسها في الإصدارات الجديدة، إلا أن المُستخدم يحتاج إلى فهم العوامل الأساسيّة التي تجعل تلك الخاصيّة آمنة.

   

بداية، لو كان الجهاز يعتمد فقط على الكاميرا الأمامية للتعرّف على وجه المُستخدم فإن اختراقه مُمكن بسهولة تامّة جدا، لأن وضع صورة لوجه المُستخدم سيفي بالغرض. لماذا؟ لأن الكاميرا لن تكون قادرة على تحديد أبعاد الوجه وتضاريسه، وهذه عملية مُمكنة باستخدام كاميرا تعمل بالأشعّة تحت الحمراء مسؤولة عن رسم خارطة ثلاثية الأبعاد لوجه المُستخدم، وهو ما يسمح للجهاز فيما بعد بالتعرّف على المُستخدم حتى مع حلاقة ذقنه أو وضع مساحيق التجميل، إضافة لإمكانية التفرقة بين الصورة والوجه الحقيقي(7).

   

   

وإلى جانب كاميرا الأشعّة تحت الحمراء، يجب أن تتوفّر ميزة "طلب انتباه المُستخدم" (Request Attention) التي تمنع فك قفل الجهاز طالما أن المُستخدم لا ينظر إلى الكاميرا مُباشرة. في هواتف آيفون، عند رفع الهاتف أمام وجه المُستخدم، لن يقوم النظام بفك قفله عندما يكون نظر المُستخدم في اتجاه آخر، أو عندما تكون عيون المُستخدم مُغلقة. أما في هواتف "بكسل 4" على سبيل المثال لا الحصر، فإن الجهاز يُمكن فك قفله دون الحاجة إلى الانتباه، وهذا يعني أن المُستخدم عند نومه قد يكون عُرضة لانتهاك خصوصيّته دون أن يدري، مع وعود من غوغل بمعالجة هذه الثغرة في تحديث أمني سيصل لاحقا. وزاد الأمر سوءا أن الجهاز فشل في التعرّف على مُستخدميه بعد وضع مساحيق التجميل(8).

  

الآن للإجابة عن السؤال الرئيسي حول مصير حماية أجهزتنا الذكية بعد تلك الأخبار والتقارير فإن ما يحتاج إليه المُستخدم قطعا هو استخدام أكثر من خاصيّة في الوقت نفسه، فإلى جانب تفعيل بصمة الوجه يجب استخدام رمز قفل مُعقّد. وفي حالة احتواء الجهاز على مُستشعر للبصمة، فلا مانع من الاعتماد عليه أيضا إلى جانب بقيّة المزايا لأن اختراق إحداها لا يعني الوصول لبيانات المُستخدم بشكل مُباشر، بل تبقى هُناك خُطوات أُخرى يحتاج المُخترق إلى تجاوزها.

تقارير متصدرة


آخر الأخبار