تعرّضت مؤخرًا بيانات أكثر من مليون مستخدم من مستخدمي نظام أندرويد للخطر بسبب ثغرة أمنية جديدة حملت اسم Gooligan، حيث بلغ مُعدل الإصابة اليومي أكثر من 13 ألف جهاز، وهو رقم كبير جدًا دفع البعض لاعتبار هذه الهجمات الأسوء في تاريخ نظام جوجل.

وللتخفيف من حدّة الهلع فإن جوجل عملت فوريًا على تحديد آلية عمل الهجمات والتعرّف على الأساليب التي اتبعها المُخترقون لإصابة الأجهزة، لتقوم فورًا بإغلاق جميع المنافذ والبدء بتأمين البُنى التحتية على الأقل مُحاولة بذلك الحد من تطوّر هذا النوع من الهجمات.

وباختصار، فإنه وباستغلال Gooligan يقوم المخترق بسرقة شهادات المُصادقة authentication tokens وبالتالي الالتفاف على نظام الحماية في جوجل والوصول إلى بيانات المستخدم في متجر جوجل بلاي Google Play، وبريد Gmail، إضافة إلى مستندات جوجل، وبقية خدمات جوجل التي تعتمد على حساب المستخدم. لكن أحد الباحثين في شركة Check Point طمأن المستخدمين قائلًا إن هناك تغيير في آلية تعامل المُخترقين مع البيانات، فالهدف من Gooligan لم يكن جميع البيانات أبدًا، بل قام المخترقون بتثبيت تطبيقات على جهاز المستخدم للاستفادة من العائدات الإعلانية التي تصل إلى أكثر من 320 ألف دولار أمريكي شهريًا.

في الجهة المُقابلة، قال متحدّث باسم شركة جوجل إن الشركة لم تجد أثرًا لسرقة البيانات الخاصّة بالمستخدمين، وأكّد بدوره أن الهدف كان فقط تثبيت تطبيقات خبيثة لعرض إعلانات والحصول على مقابل مادي.

كيف يتم الاختراق

بداية ولإصابة الجهاز يحتاج المستخدم لتثبيت بعض التطبيقات المُصابة، وهي تطبيقات وجدت طريقها إلى متجر جوجل بلاي Google Play في وقت سابق، لتقوم الشركة بإزالتها فيما بعد. كما توفّرت أيضًا داخل متاجر خارجية. إضافة إلى ذلك، يمكن أن يُصاب جهاز المستخدم بمجرد الضغط على رابط خبيث يتم إرساله عبر رسالة نصيّة SMS أو حتى عبر تطبيقات مثل واتس آب WhatsApp، حيث يكفي زيارة الرابط الخبيث لإصابة الجهاز فوريًا.

آلية عمل Gooligan

بعد نجاح المخترق في الوصول إلى جهاز المستخدم تبدأ عملية جمع البيانات وتثبيت أدوات للحصول على صلاحيات الجذر Root للتحكم بالجهاز على نطاق أوسع، حيث يتم بعدها تثبيت بعض التطبيقات الإعلانية وسرقة شهادات المُصادقة لخداع خوادم جوجل ونشر شريحة أكبر من التطبيقات المُصابة ومعاملتها على أنها طبيعية جدًا.

بعد سرقة شهادات المُصادقة يمكن بكل سهولة استخدام حساب المستخدم للوصول إلى خدمات تُقدّمها جوجل مثلما ذكرنا سابقًا، كما يمكن التحايل لتثبيت بعض التطبيقات الإعلانية أيضًا وكأن المستخدم هو من يقوم بهذه العمليات، كما يتم التعليق على التطبيقات الخبيثة باستخدام حساب المستخدم.

ولمعرفة إذا ما كان الحساب سليم وغير مصاب يمكن التوجه إلى الرابط gooligan.checkpoint.com وكتابة البريد الإلكتروني لتظهر النتيجة التي وإذا كانت تدل على أن الحساب مُصاب فيجب أولًا تغيير كلمة مرور حساب جوجل عن طريق الحاسب وليس عن طريق الجهاز نفسه. أما بالنسبة للجهاز فيجب إعادة تثبيت النظام بالكامل عليه، وهي عملية تُعرف باسم Flash، ويتم من خلالها تثبيت نسخة سليمة ونظيفة من النظام تضمن عدم وجود بقايا من أي اختراق.

ماذا عن التطبيقات المُصابة؟

بداية، عملت جوجل على إزالة جميع التطبيقات المُصابة أو التي تسمح باستغلال هذه الثغرة، وبالتالي يمكن ضمان نسبة حماية مقبولة عند تثبيت أي تطبيق من داخل متجر جوجل بلاي. أما التطبيقات المُثبّتة من خارج المتجر فيجب الابتعاد عنها حتى لو كانت تطبيقات مشهورة مثل فيسبوك أو واتس آب، فالمتجر الرسمي هو اضمن مكان لتثبيت هذه التطبيقات.

أما الأسماء المُصابة فهي تطبيقات بالمجمل مُتخصصة بتنظيف الجهاز من الملفات المؤقتة، أو تحسين أداء الذاكرة أو المعالج، حيث تضمّنت قائمة الأسماء تطبيقات مثل Talking Tom 3، وPerfect Cleaner، وWiFi Enhancer، وHtml5 Games، وmemory booster، إضافة إلى Clear، وBattery Monitor، وMemory Booster، وWifi Master.

أخيرًا، ولزيادة مستوى الحماية يجب عدم تثبيت تطبيقات من خارج المتجر، مع الحرص على استخدام تطبيقات لفحص الجهاز من الملفات الخبيثة، فهي عادة تعمل بالخلفية وتراقب جميع الملفات بشكل دائم، وحتى لو كانت هذه التطبيقات مدفوعة، يبقى الاستعانة بها أمر يقي من مثل هذه الثغرات التي يمكن أن تعصف ببيانات المستخدم في أي لحظة.