ثغرة خطيرة في تطبيق SHAREit تهدد خصوصية 1.5 مليار شخص
خالد الخليصى المصريين بالخارجاكتشف مجموعة من الباحثين بشركة تريند مايكرو، المتخصصة في الخدمات الأمنية، وجود ثغرة خطيرة في تطبيق أندرويد لنقل الملفات SHAREit، تسمح لأي مقرصن بالوصول إلى شيفرة المصدر الخاصة بالتطبيق وتنفيذ أوامر على هاتف الضحية عن بعد.
ووفقاً لتقرير موقع ZDNet، فإن الباحثين تواصلوا مع الشركة المطورة للتطبيق منذ 3 أشهر عند اكتشافهم للثغرة، ولكنها لم تقم بإغلاقها حتى الآن.
وأشار إيكو دوان، أحد باحثي تريند مايكرو، إلى أن خطورة الثغرة تتمثل في سماحها للمخترقين بالتلاعب بشيفرة المصدر الخاصة بالتطبيق.
وأوضح أنه إذا تمكن المخترق من النفاذ إلى الشبكة التي يتصل بها هاتف الضحية، يفسهل عليه توجيه أوامر إلى التطبيق لينفذها، وكذلك يمكنه تشغيل أي كود برمجي عن بعد، بالإضافة إلى أنه يستطيع التعديل في الملفات الخاصة بتطبيق SHAREit وتثبيت أي تطبيق على الهاتف، دون الحاجة لموافقة الضحية.
كما أوضح التقرير أن الثغرة تسمح للمخترق بشن هجوم يُعرف باسم Man-in-the-Disk يعتمد على التخزين غير الآمن لملفات التطبيقات على ذاكرة الهاتف، ما يتيح إمكانية قيام المخترق بالتعديل فيها من خلال الحذف والتعديل والإضافة.
وأكد دوان، في تصريحاته إلى ZDNet، أنه تم نشر تفاصيل الثغرة الخطيرة، بعد أن تجاهلت الشركة مطورة التطبيق المُصاب القيام بأي إجراء أمني لسد تلك الثغرات.
وأشار الباحث الأمني إلى أنه قد تم التواصل مع شركة جوجل، كي يتم حذف التطبيق من متجرها بلاي ستور، إلا أنها لم تتخذ إجراء بشأن التطبيق الذي يستخدمه أكثر من 1.5 مليار مستخدم.
أما فيما يتعلق بهواتف آيفون العاملة بنظام تشغيل "IOS"، فقد شدد دوان على أن إصدار تطبيق SHAREit الخاص بها يعتمد على نظام كودي مختلف عن إصداره لأندرويد، ما يجعل مستخدمي آيفون في أمان من الثغرة.
تعتبر تلك هي المرة الثانية التي يعاني منها مستخدمو SHAREit على هواتف أندرويد من ثغرة تقنية خطيرة، حيث إنه في 2017 تم اكتشاف ثغرات خطيرة في إصدار التطبيق لنظام تشغيل غوغل، تتيح للمخترق إمكانية الوصول للملفات الخاصة على هواتف الضحايا بسهولة.
وكانت الثغرة، المكتشفة على يد باحثين من شركة RedForce الأمنية، تسمح كذلك بإمكانية وصول المخترق إلى ذاكرة هاتف الضحية، بحيث يستطيع التعديل في أي ملف من حيث نسخ أو حذف أو تعديل، دون أن يشعر المستخدم.