اكتشف باحثون لدى شركة كاسبرسكي لاب مجموعة من نقاط الضعف في تطبيقات شهيرة للمواعدة والتعارف تحظى بشعبية ورواج بين المستخدمين، ولديها القدرة على إحداث أضرار مختلفة، بدءًا من تحديد هوية الشخص، ووصولًا إلى عمليات نقل بيانات غير مؤمّنة وتسريب معلومات شخصية.

 ووجد خبراء الشركة الروسية الرائدة في مجال أمن المعلومات بعد قيامهم بتحليل خدمات تعارف عالمية، أن بعضها لا ينطوي إلا على مستويات منخفضة من حماية البيانات.
 ولكن مع تزايد شعبية هذه الخدمات، أشارت كاسبرسكي لاب إلى أن قضية أمنية مهمة تبرز، إذ إن معظم هذه الخدمات تطلب من المستخدمين تبادل معلومات الشخصية. لذلك قرر فريق من باحثي الشركة فحص مستوى الأمان الذي تتمتع به هذه الخدمات، فأجروا تحليلًا مفصلًا لأهم تطبيقات التعارف في مناطق مختلفة من العالم، بحثًا عن نقاط ضعف مختلفة يمكن أن تؤثر في حياة المستخدمين الحقيقية وتغيّر أوضاعهم من “مواعدين” إلى “ضحايا”.

وكشف هذا البحث عن أن المستخدمين يواجهون مخاطر متعددة عند استخدام تطبيقات التعارف عن طريق الإنترنت؛ فهم، على سبيل المثال، عُرضة لتحديد أسمائهم وألقابهم من ملفاتهم التعريفية على الشبكات الاجتماعية، كما يمكن العثور عليهم في الواقع من خلال استخدام بيانات تحديد الموقع الجغرافي. وعلاوة على ذلك، فقد يفقدون القدرة على الوصول إلى حساباتهم، أو قد تقع بياناتهم الشخصية في أيدٍ خاطئة.

واكتشف خبراء الشركة وجود خطر أمني مشترك في العديد من التطبيقات، يتعلق بطريقة التوثيق القائم على الرمزية، والتي تستخدمها تطبيقات التعارف في عمليات التسجيل والاشتراك الجديدة؛ إذ يتم إنشاء رمز مميز بناء على طلب من قبل خادم من أجل التعرف بشكل فريد على المستخدم، وعادة ما يطلب الوصول إلى حساب فيسبوك. ثم يتيح هذا الرمز الوصول إلى معلومات المستخدم العامة، بما في ذلك الاسم الأول والأخير، وعنوان البريد الإلكتروني وصورة الملف الشخصي.

وباستخدام هذه الطريقة، ذكر الخبراء أن التطبيقات تتلقى كافة البيانات اللازمة لتمكينها من المصادقة على المستخدم على خوادمها. ومع ذلك، واستنادًا إلى البحث، فإنه غالبًا ما يتم تخزين الرموز أو استخدامها بطريقة غير آمنة، ما يجعلها عُرضة للسرقة بسهولة، الأمر الذي يعني قدرة المتسللين على الوصول المؤقت إلى حسابات الضحايا حتى من دون تسجيل اسم الدخول وكلمة المرور.

وخلافًا لهذا الضعف المتمثل بالتخزين غير الآمن للرموز، قال الباحثون إن المستخدمين قد يواجهون أيضًا تهديدًا آخر يتعلق بسلامة سجلّ المراسلات التي يتم تخزينها على الجهاز، حيث يمكن للمتسللين الوصول إليها وقراءتها. هذه الهجمات تُعتبر تهديدًا خاصًا بمستخدمي الأجهزة العاملة بنظام أندرويد، ولا سيما تلك الأجهزة غير المحدّثة، إذ تنطوي على نقاط اختراق ضعيفة تمكّن المهاجمين من الوصول إلى عُمق الجهاز، والحصول بالتالي على معلومات خاصة، قد تشمل نشاط المستخدم في تطبيقات التعارف، مثل الرسائل المكتوبة والصور المعروضة.

وبالإضافة إلى ذلك، وجد الباحثون أنه يمكن الكشف عن مستخدمي ستة من التطبيقات التي خضعت للتحليل، عبر مواقعهم الجغرافية. واستطاعت كاسبرسكي لاب، في بعض التطبيقات، تحديد مخاطر محدقة بعملية نقل البيانات؛ فعلى الرغم من أن معظم التطبيقات يستخدم ما يُعرف بطبقة المقابس الآمنة Secure Sockets Layer لتأمين اتصالها مع الخوادم، يتم إرسال بعض البيانات عبر بروتوكول HTTP من دون تشفير، ما يتيح للقراصنة فرص اعتراض هذه الاتصالات التي غالبًا ما تحتوي على معلومات شخصية مثل موقع المستخدم، والملفات الشخصية التي زارها، والرسائل، وبيانات الجهاز، وغيرها. كذلك يمكن للمتسللين باستخدام اتصال غير آمن، الاستيلاء على حساب الضحية والتحكّم به.

وفي هذا الإطار، حذّر رومان يونوتشك، الخبير الأمني لدى كاسبرسكي لاب، مستخدمي تطبيقات التعارف والمواعدة من عدم الاهتمام بأمنهم الإلكتروني، مؤكّدًا أن البحث يُبيّن افتقار العديد من هذه الخدمات إلى الحماية من عدة أنواع من الهجمات، وقال: “يعرّض المستخدمون أنفسهم للخطر من خلال تبادل معلومات شخصية حساسة في ملفاتهم الشخصية مثل أماكن دراستهم أو عملهم، فبوسع المتسللين، وفي أيديهم هذه المعلومات، العثور بسهولة على حسابات الضحايا في “فيسبوك” و”لينكد إن”. كما أنه يفسح المجال لمطاردة الضحايا وتتبع تحركاتهم على أرض الواقعي، لذلك يجب على المستخدمين التأكد من مراقبة خصوصيتهم وأمن بياناتهم عند التعارف على الإنترنت”.

ولمنع البيانات من السرقة، توصي كاسبرسكي لاب بتجنُّب نقاط الاتصال بشبكات الإنترنت اللاسلكية Wi-Fi العامة ذات الحماية المحدودة، وباستخدام الشبكات الخاصة الافتراضية VPN لضمان اتصال آمن، كما توصي بتجنّب مشاركة الآخرين المعلومات الشخصية الحساسة، مثل أماكن الدراسة أو العمل، وما إلى ذلك، إضافة إلى ضرورة تثبيت حل أمني موثوق به مثل Internet Security من كاسبرسكي، الخاص بأجهزة أندرويد.

من باحمو إسماعيل بن رابح

باحمو إسماعيل أستاذ وريادي أعمال مدون تقني أهتم بالتكنولجيات التقنية والمالية وريادة الأعمال والإبتكار

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *