شركة Rapid7 الشهيرة والمتخصصة بتطوير أدوات الأمن الرقمي والمطوّرة لأداة ميتاسبلويت Metasploit أعدّت تقريرًا اتّهمت فيه شركة Google جوجل بتعريض الملايين من مُستخدمي أندرويد للخطر وذلك بسبب توقّفها عن إرسال التحديثات الأمنية لأداة ويب فيو WebView للأجهزة العاملة بإصدار أندرويد 4.3
.jpg)
وتعتبرأداة WebView العنصر البرمجي الذي يُتيح لمطوُري التطبيقات إظهار صفحات الويب ضمن تطبيقاتهم دون الحاجة لفتحها في مُتصفّح خارجي حيث تُبنى بعض التطبيقات بشكل كامل اعتمادًا على هذه الأداة وبعضها يستخدم هذا العُنصر ضمن أجزاء مُعيّنة فقط في التطبيق وبعض التقارير تفيد بأن Google جوجل توقّفت عن إصلاح الثغرات الأمنية في WebView وذلك لإصدارات أندرويد 4.3 وما قبله بعد أن استغنت نهائيًا عن هذا التطبيق منذ الإصدار 4.4 (كيت كات) واستبدلت به نسخة جديدة من WebView مبنية على كروم ويذكر أن جوجل توقفت عن تحديث التطبيق أمنيًا بهدوء ودون إشعار مُسبق بعد إعتبارها أن إصدار أندرويد 4.3 قد أصبح قديمًا منذ أصدرت الشركة نسخة أندرويد 5.0 الأخيرة لكن تُقدّر شركة Rapid 7 عدد هواتف أندرويد المُعرّضة لإصابات مُحتملة بسبب الثغرة بحوالي 930 مليون هاتف
وبحسب Rapid7 فإن WebView يحتوي على العديد من الثغرات الأمنية التي يُمكن أن يستغلّها المُخترقون للعبث بأجهزة المُستخدمين وسرقة معلوماتهم وبياناتهم منها ما أصبحت ثغرات معروفة بالفعل حتى أن الشركة قامت بتوفيرها ضمن أداة Metasploit الأمنية التي تطوّرها والتي يستخدمها كل من الخبراء الأمنيين والقراصنة على حدٍ سواء وذكرت Rapid7 أنها تواصلت مع جوجل حول هذه المسألة وكان جواب الشركة بأن أندرويد مفتوح المصدر وبأنها تُرحّب بالإصلاحات الخاصة بالثغرات الأمنية التي يُرسلها المطوّرون والخبراء كي تقوم بإضافتها إلى أندرويد وإعلام شركائها من أجل تحديث هواتفهم لسد هذه الثغرات الأمنية إلّا أن جوجل نفسها توقفت تمامًا عن دعم النسخ السابقة لأندرويد 4.4. وبحسب Rapid7 فإن سياسة الاعتماد على مجتمع المصدر المفتوح لحل الثغرات وإرسالها لجوجل قد لا تكون فعّالة بما فيه الكفاية
و ينصح الخبراء الأمنيون مستخدمي الهواتف العاملة بإصدار أندرويد 4.3 وما قبله بعدم تحميل التطبيقات إلّا من المصادر الموثوقة وتجنّب النقر على الروابط المشبوهة تفاديا لأخطار مُحتملة
وللعلم فإن Google لم تبدي أي رأي حول القضية
0 التعليقات:
إرسال تعليق