أردرويد

اكتشاف ثغرة خطيرة في بعض هواتف اتش تي سي تعرّض معلومات المستخدم للخطر! (تحديث)

اكتشف أحد مطوري الرومات Trevor Eckhart ثغرة خطيرة في عدد من هواتف HTC بنظام أندرويد والتي تعمل بواجهات Sense, وقام بالتعاون مع موقع Android Police بتجربة الثغرة والتأكد منها في ثلاثة أجهزة وهي Evo 3D, Thunderbolt و Evo 4G. قد تكون الثغرة موجودة أيضاً في هواتف أخرى مثل Sensation وغيره لكن هذا لم يتم التأكد منه بعد.

سأحاول تبسيط الثغرة قدر الإمكان دون الدخول في تفاصيل تقنية كثيرة. الثغرة تتألف من قسمين, القسم الأول قد لا تعتبره HTC ثغرة وهو أن الشركة وضعت في عدد من هواتفها تطبيقاً يسمى HtcLogger.apk مهمة هذا التطبيق جمع عدد كبير من المعلومات من جهاز المستخدم وإرسالها إلى الشركة. المعلومات التي يتم جمعها هي:

  • قائمة بحسابات المستخدم كحسابات البريد الالكتروني وحالتها التزامنية.
  • آخر موقع جغرافي معروف تواجد فيه المستخدم ويتم تحديده عن طريق GPS أو عن طريق الشبكة. بالإضافة إلى ملخص صغير عن آخر عدة مواقع تواجد فيها.
  • الأرقام الموجودة في سجل الهاتف.
  • معلومات الرسائل القصيرة SMS بما في ذلك أرقام الهواتف ونصوص الرسائل (لكن النصوص تخرج مشفرة).
  • سجلات النظام system logs.
  • معلومات عن المعالج والشبكة وقائمة بالتطبيقات المثبة وعن البطارية وغير ذلك …

كل ما ورد حتى الآن -وإن كان يبدو مزعجاً- فهو ليس الثغرة بحد ذاتها, إذ يمكن لـ HTC أن تزعم بأنها تجمع المعلومات لدراستها من أجل تحسين تجربة المستخدم في الإصدارات القادمة وبأنها تتعهد بأنها لا ترسل المعلومات إلى أطراف أخرى .. الخ الخ. لكن الثغرة التي تم اكتشافها هي أن الشركة لم تبذل جهداً في حماية هذه المعلومات الصادرة من الجهاز وجعلتها عرضة للاستفادة منها من قِبل التطبيقات الضارة. كان على HTC إن كانت تحتاج إلى هذه المعلومات بالفعل أن تقوم بحمايتها بالشكل المناسب, لكن الآن وبكل بساطة يستطيع أي تطبيق ضار يمتلك سماحية الاتصال بالانترنت android.permission.INTERNET أن يتمكن من الحصول بسهولة على نسخة من هذه المعلومات التي تجمعها HTC! بمعنى آخر أن التطبيق الضار حتى لو لم يكن يمتلك السماحية للحصول على معلومات الموقع الجغرافي GPS (على سبيل المثال) لكنه يستطيع الاتصال بالانترنت فهذا يكفيه لسرقة معلومات الـ GPS عن طريق التجسس على سيل المعلومات التي تُرسلها HTC نفسها من الجهاز عبر الانترنت.

لإثبات ما يقول, قام مكتشف الثغرة بعمل تطبيق بسيط لا يمتلك إلا سماحية الاتصال بالانترنت وقام بتثبيته على جهاز Evo 3D وتمكن التطبيق بنجاح من استخراج جميع المعلومات المتعلقة بالجهاز وهذه بعض الصور:

كيف أتعامل مع المشكلة وكيف أتخلص منها إن أمكن؟

  • في البداية هذه الثغرة ليست في أندرويد بل في أجهزة HTC التي تعمل بواجهة Sense حصراً. لهذا إن كنت تمتلك أي جهاز أندرويد من نوع آخر أو تمتلك جهاز HTC يعمل بواجهات أندرويد الأصلية (وليس Sense) مثل Nexus One أو G2 فليس عليك أن تكترث لهذه المشكلة.
  • إن كنت تمتلك جهاز HTC يعمل على روم تستند إلى كود أندرويد الأصلي مثل Cyanogen فهذه المشكلة لن تكون موجودة لديك.
  • إن كنت تمتلك صلاحيات الرووت على جهازك قم بحذف التطبيق التالي: /system/app/HtcLoggers.apk باستخدام أي تطبيق لإدارة الملفات.
  • عدا عن ذلك فلا شيء يمكن فعله سوى عمل الرووت وحذف التطبيق المذكور أو انتظار التحديث من HTC.
  • للتوضيح: الثغرة لا تقوم بتعريض أي من كلمات المرور الخاصة بك للخطر.
  • كالعادة, النصيحة التي نكررها دوماً: المسؤول الأول والأهم عن حمايتك هو أنت. لا تقم بتحميل التطبيقات سيئة النوعية, تستطيع الحكم على هذا بمجرد إلقاء نظرة سريعة على صفحة التطبيق في سوق أندرويد لمشاهدة الواجهات وعدد مرات التحميل وتقييم التطبيق. يفضل ألا تقوم إلا بتحميل التطبيقات عالية الجودة والشهيرة. لا تجعل هاتفك حقل تجارب لأي تطبيق تصادفه.

حتى الآن ما زالت HTC ملتزمة الصمت ونحن ننتظر منها أمرين: الأول تبرير قيامها بجمع المعلومات, والثاني حلاً أمنياً للمشكلة الخطيرة التي سببتها لنفسها. للمزيد من المعلومات حول الثغرة يمكن الاطلاع على وصلة المصدر.

(تحديث: كما نبهني البعض وكما تبين لي لاحقاً, فإن HTC وعند عملية إعداد الهاتف للمرة الأولى تطلب إذن المستخدم في الحصول على هذه المعلومات لدراستها بهدف تحسين الخدمة, ويستطيع المستخدم رفض هذا إن أحب. هذا يعني بأن الشركة لا تجمع المعلومات دون علم المستخدم. لكن يبقى موضوع أن هذه المعلومات يتم إرسالها بشكل غير آمن مما يجعلها عرضة للسرقة من برامج أخرى هو الموضوع الهام كما أوضحنا).

[Android Police]

أنس المعراوي

مدوّن حالي، مطوّر ويب سابق، مهووس دائم بالتكنولوجيا والمصادر المفتوحة. مؤسس موقع أردرويد.

عنواني على تويتر: [email protected]

12 من التعليقات

ضع تعليقًا

  • شكرا على التحذير

    ألا يمكن للمستخدم أن يغلق هذه الخدمة ؟ لأن عادة كل البرامج وانظمة التشغيل ان تسأل المستخدم إذا كان يريد مشاركة معلومات الاستخدام ام لا

    شيء غير مقبول من HTC واتمنى ان تتغير سياستهم في الخصوصية واقفال الثغرة في اسرع وقت

  • اانت جااد !!! انا هاتفي السنسيشن وهو معرب من الشركه ايجب ان اخاف! ! ارجو ان تتاكد من الخبر بالنسبه لهذا الهاتف يا اخي

    انس اما بخصوص ارسال المعلومات فانا اظن بان جميع انظمه الاجهزه الذكيه الجديده تتجسس على اصحابها

    • تراك انت فاهم غلط اللي عنده واجهة سينيس من اتش تي سي وليس واجهة تشولو من قوقل جاته هذه الثغرة فتقدر تسوي روت تنزل السوبر يوزر من الماركت الخاص بالاندرويد وامسح البرنامج حق الثغرة

  • السلام عليكم عزيزي أنس ..

    أولاً: لماذا لا استطيع الولوج عبر تويتر والفيسبوك كما في السابق؟ لقد أختفت الايقونات المخصصة لذلك التي كانت مجودة فوق صندوق التعليقات!!

    ثانياً: بالنسبة لموضوع الثغرة فإنه عند تشغيل جهاز السينساشون لأول مرة وأثناء عملية التنصيب ، يطلب منك الجهاز الإذن لتفعيل خاصية تسمى Tell HTC والتي من خلالها يتم إرسال تقارير لشركة HTC حول أي خطاء يحدث للجهاز لغرض الإصلاح والتحسين. كما يمكن من خلال تلك الخاصية تفعيل خاصية أخرى وهي إرسال تقارير عن البرامج الموجودة في الجهاز ولغرض تحسين سينس ، وهو الأمر الذي تتطرقت له في هذا الموضوع.

    أنظر الصورة التالية لمعلومات عن تلك الميزة:
    http://img717.imageshack.us/img717/5461/p1000651s.jpg

    يمكن تعطيل تلك الخصائص من خلال القائمة الموجودة في:
    Settings > About Phone > Tell HTC

    لا أدري إن كان تعطيل تلك الخاصية يؤدي لقفل تلك الثغرة أم لا ، ولكني لست قلقاً في كل الأحول من تلك المشكلة لأني حريص جداً عند تنزيل البرامج حيث أختار المفيد منها بعناية.

    كما أن تلك الخاصية ليست سراً حيث تنبهك HTC عنها ، وهي في الأساس خدمة وميزة لغرض تحسين تلفونات HTC وواجهة سينس ، وهي متوفرة في التلفونات التي أشتريتها مؤخراً وهي Desire S, Wildfire S, Flyer, and Sensation

    • السلام عليكم،،

      بالنسبة للنقطة الأولى، فأخبرك السبب، فقد حدثت مشكلة بالأمس بعد ولوجي من خلال حسابي على فيسبوك ،، حيثُ لم تعُد تُملًا صناديق اسم المستخدم والبريد الاليكتروني تلقائيًا ببياناتي في فيسبوك (ولم تسمح لي بإظهار الصناديق النصية العادية، بالرغم من كوني مسحت كل الكعكات، وسجلتُ خروجي من موقع فيسبوك، لكن المشكلة ما زالت مستمرة إلى وقتٍ طويل [أعتقد أنها كانت مبنية على رقم IP الخاص بي]) ..
      ومن ثم كُنتُ أرسل التعليق، فيأتيني خطأ، بأن علي ملء صندوق اسم المستخدم، والبريد الإليكتروني!

    • أهلا عزيزي ياسر,

      بالنسبة للتعليق باستخدام بفيس بوك وتويتر فقد عادت للعمل الآن. أرجو إخباري في حال واجهتم أية مشكلة.

      معك حق وهذه نقطة فاتتني, عند عملية الإعداد لأول مرة يتم طلب الإذن لتفعيل هذه الخاصية, وبالتالي فـ HTC لا تفعلها دون علم المستخدم, سأقوم بتعديل الموضوع لإيضاح هذه النقطة. لكن تبقى الثغرة وهي بأن المستخدم الذي قام بتفعيل هذه الميزة فمعلوماته تخرج غير محمية بالشكل المناسب مما يسهل على تطبيقات أخرى التجسس عليها كما ذكرنا.

      • ﺷﻜﺮﺍ ﻋﺰﻳﺰﻱ ﺍﻧﺲ ..ﺍﻟﻮﻟﻮﺝ ﻳﻌﻤﻞ ﺍﻶﻥ…

        ﺑﺎﻟﻨﺴﺒﺔ ﻟﻤﻮﺿﻮﻉ ﺍﻟﺜﻐﺮﺓ .. ﻫﻞﺗﻌﺘﻘﺪ ﺍﻥ ﺗﻌﻄﻴﻞ ﻣﻴﺰﺓ Tell HTC ﺳﻮﻑ ﺗﻌﻤﻞ ﻋﻠﻰ ﺳﺪ ﺍﻟﺜﻐﺮﺓ؟

        • لا أعتقد بأن التعطيل يقوم بسد الثغرة لأن HTC اعترفت بالثغرة وقالت بأنها ستصدر تحديثاً يقوم بسدها. سأكتب عن هذا في مقالة منفصلة.

  • شكرا أنس على الخبر, الحمدلله من زمان طيرت ال HTC sense , وركبت Cyanogen
    هذي الشركات مالها أمان تتبع نهج مايكروسوفت في عدم احترام خصوصيات الناس

  • استلمت البارحة تحديث عبر الهواء لجهازي السينساشن وهو كما اعتقد يسد الثغرة الامنية التي تحدثت عنها حيث ابلغني التحديث انه لغرض إصلاح مشاكل أمنية في الجهاز.

  • السلام عليكم نرجو مساعدتي في هذا الأمر انا سرق من جوال HTC في طريقة اقدر
    كيف اعرف رقم السارق ولتتبع عن طريق النت او مسح البيانات

    الرجاء المساعدة الفورية وشكرا

%d bloggers like this: