كشفت دراسة جديدة صادرة عن شركة الأمن السيبراني Zimperium أن واحدًا من كل ثلاثة تطبيقات على نظام أندرويد، وأكثر من نصف تطبيقات iOS، تقوم بتسريب بيانات حساسة تخص المستخدمين، ما يشير إلى أزمة متفاقمة في أمن التطبيقات المحمولة.
وأظهرت النتائج أن ما يقرب من نصف التطبيقات المتاحة على متاجر الهواتف الذكية تحتوي على أسرار مشفرة بشكل ثابت (Hard-coded Secrets) مثل مفاتيح واجهات برمجة التطبيقات (API Keys)، ما يجعلها عرضة للاستغلال من قبل القراصنة في حال تحليل التعليمات البرمجية أو اختراق واجهات الاتصال.
تطبيقات VPN زائفة وخصوصية وهمية
وفي تحليل منفصل شمل 800 تطبيق VPN مجاني على أنظمة أندرويد وiOS، تبيّن أن نسبة كبيرة منها لا توفر أي خصوصية حقيقية للمستخدمين. وأوضحت Zimperium أن العديد من هذه التطبيقات تطلب أذونات مفرطة تتجاوز نطاق عملها، بينما يقوم بعضها بتسريب بيانات شخصية حساسة أو يعتمد على رموز برمجية قديمة معرضة للثغرات الأمنية.
ومن بين المخاطر التي كشفتها الدراسة أيضًا غياب ملصقات الخصوصية (Privacy Nutrition Labels) في عدد كبير من التطبيقات، ما يُضعف قدرة المستخدمين على معرفة كيفية جمع بياناتهم أو مشاركتها، إلى جانب قابلية بعض التطبيقات لهجمات “الرجل في المنتصف” (MitM) نتيجة ضعف التشفير أو استخدام بروتوكولات اتصال غير آمنة.
وقالت الشركة في بيانها: “ليس كل تطبيق VPN يمكن الوثوق به. الكثير منها يعاني من ضعف التشفير وتسريب البيانات وطلبات أذونات خطيرة — وهي مشكلات غير مرئية لمعظم المستخدمين.”
ثغرات Firebase: أبواب مفتوحة أمام القراصنة
وفي سياق ذي صلة، أظهرت دراسة بحثية حديثة أجراها الباحث الأمني مايك أووده رايمر (Mike Oude Reimer) أن تطبيقات الهواتف المحمولة المُكوّنة بشكل خاطئ يمكن أن تُستغل للوصول إلى أكثر من 150 خدمة مختلفة من خدمات Firebase التابعة لجوجل. وشمل ذلك الوصول غير المصرح به إلى قواعد بيانات لحظية (Real-time Databases)، وحاويات تخزين (Storage Buckets)، ومفاتيح وأسرار برمجية حساسة، ما يشير إلى ثغرات تكوين واسعة النطاق تهدد الملايين من المستخدمين حول العالم.
أزمة الثقة في النظام البيئي للتطبيقات
تكشف هذه التقارير عن مشكلة بنيوية في صناعة التطبيقات المحمولة، إذ لا تقتصر التهديدات على البرمجيات الخبيثة فحسب، بل تمتد إلى سوء الممارسات الأمنية من قبل مطوري التطبيقات أنفسهم. ويؤكد خبراء الأمن السيبراني أن غياب المراجعات الأمنية الدورية، والاعتماد المفرط على مكتبات مفتوحة المصدر غير محدّثة، إلى جانب ثقافة “السرعة قبل الأمان”، كلها عوامل تجعل من التطبيقات الحديثة نقاط دخول مثالية لهجمات القرصنة وسرقة البيانات.
ويرى محللون أن الشركات التقنية مطالَبة اليوم بإعادة هيكلة منظومة التطوير الآمن للتطبيقات (Secure SDLC)، وتفعيل سياسات تدقيق أكثر صرامة في متاجر التطبيقات لحماية المستخدمين من هذا النوع من التسربات الصامتة.
