يتعرض مستخدمو تطبيقات Android الشهيرة للخطر من خلال أدوات ترحيل الأجهزة ذات الامتيازات العالية

كلاود سيكحدد باحثو الباحثين أن التطبيقات المتعددة لا تفعل ذلك إبطال ملفات تعريف الارتباط الخاصة بالجلسة أو إعادة التحقق منها إذا تم نقل بيانات التطبيق من جهاز إلى آخر. باستخدام أداة ترحيل الأجهزة ذات الامتيازات العالية، يمكن للجهات الفاعلة في مجال التهديد نقل التطبيقات إلى جهاز Android جديد مما يتسبب في حدوث مشكلات في الترحيل - ولهذا السبب نحذر من استخدام تطبيقات ترحيل البيانات الأخرى: هذا يعني أنه إذا كان الشخص قادرًا على الوصول الفعلي إلى جهازك غير المقفل لبعض الوقت، فيمكنه نسخ بيانات تطبيقك على جهازه وانتحال شخصيتك وحساباتك، وبالتالي استخدام التطبيقات نيابة عنك دون إدخال معرف تسجيل الدخول أو كلمات المرور. في بعض التطبيقات مثل WhatsApp، يمكن للجهات الفاعلة أيضًا تجاوز آلية 2FA.

تحدث هذه المشكلة عندما يتم نسخ المفاتيح السرية التي يستخدمها WhatsApp إلى الهاتف الجديد. لهذا السبب، من جانب Whatsapp، يبدو هذان الجهازان متماثلان نظرًا لأنهما يستخدمان نفس بيانات الاعتماد للمصادقة علينا.

‍

من أجل تأكيد النتائج التي توصلنا إليها وعرضها، أجرى باحثو CloudSek اختبارًا على اثنين ريلمي الأجهزة، وهي RMX2170 و RMX3660، باستخدام تطبيق Clone Phone. هذا التطبيق هو ميزة افتراضية يتم تثبيتها مسبقًا على الأجهزة التي تعمل بنظام Coloros مثل Realme و Oppo. تم التحقق من نفس الاختبار أيضًا في ون بلس وأوبو أجهزة. ومع ذلك، تجدر الإشارة إلى أن مشاركة بيانات التطبيق من أجهزة Samsung بنقرة واحدة غير ممكنة حاليًا. وبالتالي، لم ينجح الاختبار على Samsung.

‍

باختصار، يتضمن نقل البيانات من هاتف قديم إلى هاتف جديد نقل بيانات التطبيق والجلسات. كشف تحقيقنا عن بعض التطبيقات التي تستمر في العمل على الجهاز الجديد دون إبطال ملفات تعريف الارتباط الخاصة بالجلسة. يمكنك الرجوع إلى الجدول أدناه للحصول على قائمة بهذه التطبيقات.

‍

التطبيقات التي فشلت في إبطال ملفات تعريف الارتباط الخاصة بالجلسة

• كانفا
• احجز برنامجي
• واتساب
• سناب شات
• كتاب الخطابة
• برقية
• زوماتو
• واتساب للأعمال
• سترافا
• لينكد إن
• محرك الطريق السريع
• بلينكيت
• الدفع المستقبلي - BigBazaar مملوك الآن لشركة Reliance
• أداني ون
• كلاش أوف كلانس، كلاش رويال (سوبرسيل)
• ديسكورد
• بوكينج دوت كوم
  

‍

التجربة

للتحقق من صحة العملية كما ذكرنا سابقًا للاستيلاء على الحساب عبر ملفات تعريف الارتباط الخاصة بالجلسة التي تم إبطالها، أجرى باحثو CloudSek تجربة باستخدام جهازي Realme. بعد نقل البيانات من جهاز الضحية إلى جهاز المهاجم، تم الوصول إلى التطبيقين (Whatsapp و Whatsapp Business) على كلا الجهازين عبر نفس الحساب. (لإثبات المفهوم، يرجى الرجوع إلى المراجع قسم)

‍

‍

على الرغم من قيام الضحية بتنشيط WhatsApp 2FA، لم يتم سؤاله على الجهاز الجديد (المهاجم) والآن يمكن للجهازين إرسال رسائل عبر نفس الحساب. ومع ذلك، لن يتم استلام الردود من المستخدم على الطرف الآخر إلا على الجهاز الذي أرسل الرسالة الأخيرة. الطريقة الوحيدة لتحديد ما إذا كانت بيانات تطبيقك قد تم نسخها إلى جهاز آخر وما إذا كان شخص آخر يرسل رسائل نيابة عنك هي باستخدام Whatsapp Web. عند ربط جهاز جديد بعد النقل، يتم تحميل الرسائل من كلا الجهازين على نظام WhatsApp Web. يمكن للمستخدم التحقق مما إذا كانت هناك أي محادثات غير منتظمة تم إجراؤها من حسابه. لتجاوز هذا الفحص، يمكن لممثل التهديد ببساطة حذف المحادثات.

‍

حاول الباحثون تكرار نفس الطريقة مع Instagram، مع الأخذ في الاعتبار أن كلاهما مملوك ومدار من قبل Meta، لكن Instagram قام بتسجيل الخروج من جميع الحسابات وطلب تسجيل دخول جديد.

‍

ملاحظة - تم الإبلاغ عن هذه الثغرة الأمنية إلى Meta security، واعتبروا هذا سيناريو للهندسة الاجتماعية، وبالتالي تجاهلوه كمشكلة أمنية.

‍

التأثير

‍

كثيرًا ما يستخدم مجرمو الإنترنت سجلات Stealer لسرقة بيانات اعتماد تسجيل الدخول والبيانات الحساسة الأخرى. بمجرد تثبيت البرامج الضارة على نظام الضحية، فإنها تجمع بصمت سجلات حول أنشطة المستخدم وترسلها مرة أخرى إلى خادم المهاجم. يمكن استخدام هذه المعلومات للوصول إلى حسابات الضحية.

‍

وقد لوحظ أيضًا أن الجهات الفاعلة في مجال التهديد تستخدم متصفحات مجهولة تمكنها من استخدام ملفات تعريف الارتباط المسروقة وانتحال شخصية نظام تحديد المواقع العالمي (GPS) الخاص بالمستخدم وموقع الشبكة إلى جانب معرفات الجهاز.

‍

• الوصول غير المصرح به: يمكن للمهاجمين استخدام هذه الجلسات المخترقة للحصول على وصول غير مصرح به إلى حسابات المستخدمين والبيانات الحساسة والمعلومات الشخصية.
• الخسارة المالية: يمكن للمهاجمين استخدام هذه الجلسات المخترقة لإجراء معاملات غير مصرح بها، مما يؤدي إلى خسارة مالية للضحية.
• الضرر بالسمعة: يمكن أن يؤدي اختطاف الجلسة إلى الإضرار بسمعة الضحية حيث يمكن للجهات الفاعلة في مجال التهديد إرسال رسائل غير لائقة إلى جهات اتصال الضحية.

‍

تدابير التخفيف وأفضل الممارسات

• قم بتمكين ميزات مثل المصادقة الثنائية لإضافة طبقة إضافية من الحماية إلى حساباتك.
• مراقبة جهازك بانتظام بحثًا عن أي نشاط غير عادي، يمكن أن يساعد ذلك في اكتشاف أي تهديدات أمنية محتملة في وقت مبكر.
• من الجيد دائمًا إبقاء أجهزتك مقفلة عندما لا تستخدمها، إما باستخدام كلمة مرور أو بصمة إصبع أو التعرف على الوجه.
• يجب أيضًا تجنب ترك أجهزتك دون مراقبة في الأماكن العامة حيث يمكن للآخرين الوصول إليها.

‍

الخاتمة

‍

يُعد السيناريو أعلاه، الذي يشبه إلى حد كبير تلك التي تم تصويرها في الأفلام، مثالًا مثيرًا للقلق على تقنية سرقة البيانات حيث يستغل ممثل التهديد الأفراد الذين لا يؤمنون أجهزتهم بكلمات مرور. في بعض الحالات، قد يقوم الفرد بتسليم هاتفه إلى مسؤول تنفيذي في مطعم أو مركز تجاري يطلب منه تنزيل تطبيق لتلقي مكافآت مجانية. ثم يستخدم المدير التنفيذي هذه الفرصة لمسح رمز QR ونقل البيانات من جهاز الضحية إلى جهاز خاص به. قد تتضمن هذه البيانات معلومات حساسة مثل بيانات الاعتماد المالية، مما يسمح لممثل التهديد بالوصول إلى المحافظ الرقمية للضحية وتحويل الأموال. بالإضافة إلى ذلك، يمكن للمهاجم مراجعة سجل رسائل WhatsApp للضحية، باستخدام المعلومات لابتزاز الضحية أو طلب المال من جهات الاتصال الخاصة بها.

‍

للتخفيف من هذا التهديد، من الضروري تأمين هاتفك بكلمة مرور. إذا لم تتمكن من تنزيل تطبيق بنفسك، امتنع عن تسليم جهازك إلى شخص آخر لتنزيله نيابة عنك. من المهم مراجعة الأذونات التي يتطلبها التطبيق بعناية قبل منحه حق الوصول، وإلغاء الأذونات عند اكتمال المهمة. على الرغم من أن الأمر قد يبدو مربكًا، إلا أنه من الأهمية بمكان اتخاذ هذه التدابير للحماية من فقدان مدخرات الحياة بسبب عمليات الاحتيال هذه.

‍

‍

المراجع

• PoC: فيديو للتجربة المذكورة أعلاه
• ^#بروتوكول إشارات المرور - ويكيبيديا
• الرسوم التوضيحية الكرتونية القابلة للتخصيص من قبل المستخدم المحمول | Bro Style
• قم بتعبئة الرسوم التوضيحية الكرتونية القابلة للتخصيص | Bro Style
• أيقونة الإنفوجرافيك

‍