android-app

أجرت شركة “غوغل” تغييراً كبيراً على آلية عمل صلاحيات التطبيقات في الهواتف المحمولة التي تعمل بنظام التشغيل “أندرويد”، مما أعطى الإمكانية لمطوّري التطبيقات  لاستغلالها في نشر  برمجيات خبيثة.

في السابق، عند محاولة تنصيب أي تطبيق كانت تظهر رسالة للمستخدم تخبره بالصلاحيات المطلوبة. أما بعد التحديث الجديد الذي أجرته “غوغل”، فإنها قامت بتجميع الصلاحيات جميعها والتي يبلغ عددها 145 في 13 مجموعة صلاحيات، والهدف من هذا التجميع هو توفير الوقت على المستخدم في قراءة كافة الصلاحيات.

ولكن لسوء الحظ، فإن إجراء شركة “غوغل” سبّب مشاكل متعلقة بالأمن والخصوصية:

– إخفاء الصلاحيات ضمن مجموعات.

– التحديث التلقائي للتطبيقات لا يعطي أي تحذير بخصوص الصلاحيات الجديدة المطلوبة.

وفقاً للتحديث الجديد، بمجرد أن يوافق المستخدم على صلاحية ما يطلبها التطبيق، فإنه عملياً يوافق على كافة الصلاحيات المرتبطة به.

على سبيل المثال:

قبل التحديث، عندما كان يطلب التطبيق صلاحية قراءة الرسائل النصية القصيرة، كان هذا يعني حرفياً فقط “قراءة الرسائل النصية القصيرة”، بينما بعد التحديث الجديد، حين يطلب الوصول للرسائل النصية القصيرة، فإنه عملياً يتم منحه الوصول إلى كافة العمليات المتعلقة بالرسائل النصية القصيرة، كقراءة الرسائل وتعديلها وحتى الإرسال من الجهاز.

أما مطوّرو التطبيقات، فبإمكانهم أن يضمّنوا الصلاحيات الجديدة في تطبيقاتهم. ولكون التحديثات التلقائية لا تحذر المستخدم قبل إجراء التغييرات في الصلاحيات، فإنهم سيستطيعون الوصول إلى أماكن أكثر في الجهاز دون الحاجة إلى إذن من المستخدم.

تشرح شركة “غوغل” عن الموضوع:

“إذا فعّلتم التحديثات التلقائية، لن تحتاجوا إلى مراجعة الصلاحيات أو الموافقة عليها طالما أن هذه الصلاحية الجديدة مضمّنة في إحدى مجموعات الصلاحيات التي تمت الموافقة عليها مسبقاً.”

fifa-live-steaming-app

في الصورة أعلاه على اليسار، توجد مجموعات الصلاحيات التي يطلبها تطبيق FIFA، والصورة التي على اليمين فيها تفاصيل كل مجموعة.

في المثال أعلاه، عند موافقتكم على مجموعة الصلاحيات الخاصة بجهات الاتصال(Contacts/Calendar)  فإن التطبيق لديه أيضاً إمكانية تعديل الرزنامة (Calendar)  من دون علمكم، أو كما ذكرنا سابقاً، قد يحتاج التطبيق فقط إلى قراءة الرسالة النصية القصيرة، ولكن مجموعة الصلاحيات تتيح له إمكانية الإرسال أيضاً.

لتفادي هذه المشكلة الأمنية، ننصح المستخدمين بإيقاف التحديثات التلقائية، واستخدام التحديث اليدوي للتطبيقات إضافة إلى التحقق من الصلاحيات الجديدة التي يطلبها في كل مرة.