أعلنت شركة Google عن توسيع مبادرة Binary Transparency لتشمل تطبيقات أندرويد، في خطوة تهدف إلى تعزيز أمن النظام البيئي للتطبيقات وحمايته من هجمات سلسلة التوريد التي باتت تشكل تهديدًا متزايدًا للمستخدمين والمطورين على حد سواء.
خلفية المبادرة وأهميتها
بدأت جوجل هذه المبادرة لأول مرة في أكتوبر 2021 عبر مشروع Pixel Binary Transparency، الذي يضمن أن أجهزة Pixel تعمل فقط بإصدارات نظام تشغيل موثوقة من خلال سجل عام مشفر يوثق بيانات الصور الرسمية. الفكرة مستوحاة من إطار عمل Certificate Transparency المستخدم في شهادات SSL/TLS، والذي يفرض تسجيل جميع الشهادات في سجلات عامة قابلة للتحقق لمنع إصدار شهادات مزيفة أو خبيثة.
مواجهة هجمات سلسلة التوريد
هجمات سلسلة التوريد غالبًا ما تستغل قنوات التحديث الرسمية لتوزيع برمجيات خبيثة، مع الحفاظ على التوقيعات الرقمية سليمة، ما يجعل اكتشافها صعبًا. المثال الأحدث كان اختراق مثبتات برنامج DAEMON Tools لتوزيع باب خلفي خفيف الوزن يُعرف باسم QUIC RAT.
جوجل أوضحت أن الاعتماد على التوقيع الرقمي وحده لم يعد كافيًا، إذ أن التوقيع يثبت مصدر الملف لكنه لا يضمن أن النسخة الموزعة هي بالفعل النسخة المقصودة من المطور. هنا تأتي أهمية الشفافية الثنائية باعتبارها “شهادة نية” تؤكد أن التطبيق هو ما أرادت جوجل إصداره بالفعل.
كيف تعمل الشفافية الثنائية على أندرويد
اعتبارًا من 1 مايو 2026، ستتضمن جميع تطبيقات أندرويد الإنتاجية الصادرة عن جوجل إدخالًا مشفرًا في سجل عام يؤكد أصالتها. هذا يشمل:
- خدمات Google Play.
- التطبيقات المستقلة لجوجل.
- وحدات Mainline التي يمكن تحديثها ديناميكيًا خارج دورة الإصدار التقليدية.
بهذا الشكل، يمكن لأي مستخدم أو باحث التحقق من أن التطبيق المثبت على جهازه هو نسخة إنتاجية رسمية من جوجل، وأنه لم يتم التلاعب بها أو استبدالها بإصدار مزيف. أي نسخة غير موجودة في السجل العام تُعتبر غير صادرة عن جوجل، ما يجعل محاولات التوزيع غير المصرح بها قابلة للكشف بسهولة.
أدوات تحقق عامة
إلى جانب ذلك، توفر جوجل أدوات تحقق عامة يمكن للمستخدمين والباحثين استخدامها لفحص حالة الشفافية للتطبيقات المدعومة. هذه الخطوة تأتي في وقت تتزايد فيه هجمات سلسلة التوريد التي تستهدف حسابات المطورين وتستغلها لدفع برمجيات خبيثة إلى المستخدمين بشكل جماعي.
أهمية الخطوة لمستقبل الأمن السيبراني
جوجل وصفت هذه المبادرة بأنها ركيزة أساسية لحماية الخصوصية والأمن، لأنها تغير ديناميكية الثقة في التحديثات البرمجية. فبدلًا من الاعتماد فقط على التوقيعات الرقمية، توفر الشفافية الثنائية طبقة إضافية من الحماية، وتعمل كرادع قوي ضد أي محاولات لإصدار نسخ غير مصرح بها من التطبيقات.
