بسبب ثغرة أمنية جديدة حملت اسم Gooligan اخترق أكثر من مليون جهاز أندرويد
تعرف على Gooligan.. الثغرة الأمنية التي سمحت باختراق أكثر من مليون جهاز أندرويد
تعرضت مؤخرا بيانات أكثر من مليون مستخدم من مستخدمي نظام أندرويد للخطر بسبب ثغرة أمنية جديدة حملت اسم Gooligan، حيث بلغ معدل الإصابة اليومي أكثر من 13 ألف جهاز، وهو رقم كبير جدا دفع البعض لاعتبار هذه الهجمات الأسوء في تاريخ نظام جوجل.
وللتخفيف من حدة الهلع فإن جوجل عملت فوريا على تحديد آلية عمل الهجمات والتعرف على الأساليب التي اتبعها المخترقون لإصابة الأجهزة، لتقوم فورا بإغلاق جميع المنافذ والبدء بتأمين البنى التحتية على الأقل محاولة بذلك الحد من تطور هذا النوع من الهجمات.
وباختصار، فإنه وباستغلال Gooligan يقوم المخترق بسرقة شهادات المصادقة authentication tokens وبالتالي الالتفاف على نظام الحماية في جوجل والوصول إلى بيانات المستخدم في متجر جوجل بلاي Google Play، وبريد Gmail، إضافة إلى مستندات جوجل، وبقية خدمات جوجل التي تعتمد على حساب المستخدم. لكن أحد الباحثين في شركة Check Point طمأن المستخدمين قائلا إن هناك تغيير في آلية تعامل المخترقين مع البيانات، فالهدف من Gooligan لم يكن جميع البيانات أبدا، بل قام المخترقون بتثبيت تطبيقات على جهاز المستخدم للاستفادة من العائدات الإعلانية التي تصل إلى أكثر من 320 ألف دولار أمريكي شهريا.
في الجهة المقابلة، قال متحدث باسم شركة جوجل إن الشركة لم تجد أثرا لسرقة البيانات الخاصة بالمستخدمين، وأكد بدوره أن الهدف كان فقط تثبيت تطبيقات خبيثة لعرض إعلانات والحصول على مقابل مادي.
كيف يتم الاختراق
بداية ولإصابة الجهاز يحتاج المستخدم لتثبيت بعض التطبيقات المصابة، وهي تطبيقات وجدت طريقها إلى متجر جوجل بلاي Google Play في وقت سابق، لتقوم الشركة بإزالتها فيما بعد. كما توفرت أيضا داخل متاجر خارجية. إضافة إلى ذلك، يمكن أن يصاب جهاز المستخدم بمجرد الضغط على رابط خبيث يتم إرساله عبر رسالة نصية SMS أو حتى عبر تطبيقات مثل واتس آب WhatsApp، حيث يكفي زيارة الرابط الخبيث لإصابة الجهاز فوريا.
آلية عمل Gooligan
بعد نجاح المخترق في الوصول إلى جهاز المستخدم تبدأ عملية جمع البيانات وتثبيت أدوات للحصول على صلاحيات الجذر Root للتحكم بالجهاز على نطاق أوسع، حيث يتم بعدها تثبيت بعض التطبيقات الإعلانية وسرقة شهادات المصادقة لخداع خوادم جوجل ونشر شريحة أكبر من التطبيقات المصابة ومعاملتها على أنها طبيعية جدا.
بعد سرقة شهادات المصادقة يمكن بكل سهولة استخدام حساب المستخدم للوصول إلى خدمات تقدمها جوجل مثلما ذكرنا سابقا، كما يمكن التحايل لتثبيت بعض التطبيقات الإعلانية أيضا وكأن المستخدم هو من يقوم بهذه العمليات، كما يتم التعليق على التطبيقات الخبيثة باستخدام حساب المستخدم.
ولمعرفة إذا ما كان الحساب سليم وغير مصاب يمكن التوجه إلى الرابط gooligan.checkpoint.com وكتابة البريد الإلكتروني لتظهر النتيجة التي وإذا كانت تدل على أن الحساب مصاب فيجب أولا تغيير كلمة مرور حساب جوجل عن طريق الحاسب وليس عن طريق الجهاز نفسه. أما بالنسبة للجهاز فيجب إعادة تثبيت النظام بالكامل عليه، وهي عملية تعرف باسم Flash، ويتم من خلالها تثبيت نسخة سليمة ونظيفة من النظام تضمن عدم وجود بقايا من أي اختراق.
ماذا عن التطبيقات المصابة؟
بداية، عملت جوجل على إزالة جميع التطبيقات المصابة أو التي تسمح باستغلال هذه الثغرة، وبالتالي يمكن ضمان نسبة حماية مقبولة عند تثبيت أي تطبيق من داخل متجر جوجل بلاي. أما التطبيقات المثبتة من خارج المتجر فيجب الابتعاد عنها حتى لو كانت تطبيقات مشهورة مثل فيسبوك أو واتس آب، فالمتجر الرسمي هو اضمن مكان لتثبيت هذه التطبيقات.
أما الأسماء المصابة فهي تطبيقات بالمجمل متخصصة بتنظيف الجهاز من الملفات المؤقتة، أو تحسين أداء الذاكرة أو المعالج، حيث تضمنت قائمة الأسماء تطبيقات مثل Talking Tom 3، وPerfect Cleaner، وWiFi Enhancer، وHtml5 Games، وmemory booster، إضافة إلى Clear، وBattery Monitor، وMemory Booster، وWifi Master.
أخيرا، ولزيادة مستوى الحماية يجب عدم تثبيت تطبيقات من خارج المتجر، مع الحرص على استخدام تطبيقات لفحص الجهاز من الملفات الخبيثة، فهي عادة تعمل بالخلفية وتراقب جميع الملفات بشكل دائم، وحتى لو كانت هذه التطبيقات مدفوعة، يبقى الاستعانة بها أمر يقي من مثل هذه الثغرات التي يمكن أن تعصف ببيانات المستخدم في أي لحظة.