آلاف من مستخدمي التطبيق المعروف «WiFi Finder» شهدوا تسريب كلمات مرور شبكات WiFi المنزلية الخاصة بهم، من دون قصد، إلى قاعدة بيانات التطبيق، التي تسربت الآن إلى الإنترنت.
التطبيق الذي يُستخدم لتحديد بيانات الاتصال بنقاط اتصال WiFi العامة، استغل أكثر من 100.000 شخص لجمع أكثر من مليوني كلمة مرور.
وذكرت مدونة TechCrunch التقنية، الإثنين 22 أبريل/نيسان 2019، أن التطبيق، الذي بدا أن مقره الرئيسي في الصين، استغل أكثر من 100 ألف شخص لجمع أكثر من مليوني كلمة مرور لشبكات WiFi حول العالم.
تضمنت قاعدة البيانات أسماء الشبكات (SSID)، وموقعها الجغرافي الدقيق، وكلمات المرور (بصيغة نصية)، من بين بيانات أخرى، وفق ما نشره موقع GIZMODO الأمريكي.
تسريب كلمات مرور لشبكات الإنترنت
ويسمح التطبيق للمستخدمين بتحميل قوائم من كلمات مرور WiFi المحفوظة، ولكن من دون آلية للتفريق بين نقاط الاتصال العامة والشبكات المنزلية.
وفشل آلاف المستخدمين بالولايات المتحدة في ملاحظة ذلك، فضلاً عن الإخفاقات الواضحة لمطور التطبيق.
واكتشف قاعدة البيانات سانيام جاين، الباحث الأمني وعضو مؤسسة GDI الداعمة لحرية الإنترنت.
وعلى مدى أكثر من أسبوعين، حاول جاين والمراسل الأمني زاك ويتيكر التواصل مع الشركة المسؤولة عن التطبيق، والمدرجة باسم «Proofusion» على متجر تطبيقات جوجل.
ولكن لم تُكلَّل محاولتهما بالنجاح. وفي نهاية الأمر، تدخلت خدمة الاستضافة السحابية DigitalOcean لجعل قاعدة البيانات في وضع عدم الاتصال.
ورغم أن العواقب المحتملة لهذا الإخفاق شديدة، فإنه من المحتمل أن يحدَّ من ذلك ضرورة استهداف أي محاولة اختراق لأفراد المنزل المدرَجين في قاعدة البيانات بشكل فردي.
(إلا أن ذلك أصبح ممكناً، بسبب بيانات الموقع الجغرافي الدقيقة الموجودة في قاعدة البيانات).
كيف يمكن أن تتأثر شخصياً؟
نظرياً، بإمكان المخترق استخدام بيانات الاعتماد للتلاعب بإعدادات جهاز الراوتر، واعتراض عمليات تسجيل الدخول، ونشر البرمجيات الخبيثة على الشبكة، والسيطرة على الأجهزة الذكية في المنزل، مثل كاميرات المراقبة.
وقد يجد مرتكبو الجرائم الإلكترونية هذه العملية شاقة ومملة.
من الأسهل هذه الأيام إرسال رابط خبيث واحد إلى ملايين المستخدمين وانتظار من يبتلع منهم الطُّعم.
الأمر المرعب هو معرفة مواصلة عديد من الأشخاص تنزيل التطبيقات التي طورتها شركات لم يسمع بها أحد من قبل، ويمنحونها أذوناً للوصول إلى كل أنواع المعلومات الشخصية عن أنفسهم والآخرين.
عند تنزيل WiFi Finder، على سبيل المثال، فإنه يطلب من المستخدم الوصول إلى الموقع الجغرافي، وقوائم الاتصال كاملة، وهو ما يعني أرقام الهواتف وحسابات البريد الإلكتروني لكل الأصدقاء وأفراد العائلة.
وفي بعض الأحيان، يطلب الوصول إلى تواريخ الميلاد وملفاتهم الشخصية على حسابات التواصل الاجتماعي، كما يطلب، من دون سبب معين، إمكانية قراءة وتعديل وحذف البيانات على هواتفهم.
إذا لم تكن تعرف التطبيق ومَن وراءه، فلا تستخدم التطبيقات التي تطلب تلك الأذون.
جوجل تحاول الحد من تطبيقات الدعايات الخبيثة
ويستمر متجر تطبيقات جوجل نفسه في كونه واحداً من أسهل الطرق وأكثرها فوضوية لنشر البرمجيات الخبيثة بسرعة إلى الجماهير غير المؤهلة.
وجد الباحثون، في شهر يناير/كانون الثاني 2018، على سبيل المثال، 9 ملايين مستخدم أندرويد مصابين بعشرات التطبيقات الخبيثة.
ومنذ شهر، وجد مجموعةٌ أخرى من الباحثين 22 تطبيقاً خبيثاً تم تنزيلها أكثر من مليوني مرة، تفتح سراً نوافذ متصفح صغيرة وتستمر في النقر على الإعلانات، وهو ما يستنزف بطارية المستخدم.
وخلال الشهر الماضي (مارس/آذار 2019)، حذفت جوجل أكثر من 200 تطبيق مصاب ببرمجيات إعلانية خبيثة، تم تنزيلها ما يقرب من 150 مليون مرة. وتستمر القائمة.
ورغم حقيقة إمكانية تسريب الشركات المعروفة والشهيرة لبيانات المستخدمين أو إساءة استخدامها، مثل تثبيت تطبيق Facebook على الهاتف، يظل بإمكان المستخدمين الحد من مخاطر تعرُّضهم للخداع من قِبل التطبيقات الخبيثة و/أو غير الجديرة بالثقة، من خلال الانتظار لحظات قليلة (على الأقل)، للبحث عن اسم مطور التطبيق، مثلما هو الحال عندما تريد اختيار ميكانيكي جيد أو كهربائي أو أي شخص قد يقدم لك أي خدمة.
لذا، تحقَّق دائماً من نية التطبيقات المجانية
يجب أن تكون متشككاً إذا كانت الخدمة مجانية.
إذا عرض عليك شخص غريب إصلاح مكابح سيارتك مجاناً، فسوف ترفض طلبه.
الأمر نفسه ينطبق عند تحميل تطبيق عشوائي بهذا المستوى من القدرة على الوصول إلى بياناتك، فإنه لا يختلف كثيراً عن إلغاء قفل هاتفك وتسليمه إلى أحد الغرباء في الشارع.
من خلال نظرة سريعة إلى سياسة الخصوصية الموجزة لتطبيق WiFi Finder، والتي تتضمن رابطاً لـ «مُنشئ سياسة الخصوصية للتطبيق»، ستدرك وجود شيء خاطئ بهذا التطبيق. لذا، نناشدكم استخدام أدنى قدر ممكن من المنطق والحدس للحكم على مثل تلك الأمور.