أمن معلومات

انتبهوا "صراحة" تطبيق بعيد عن الشفافية والصراحة يخرق خصوصية المستخدمين!

نايلة الصليبي

يواجه تطبيق "صراحة"، الذي لاقى رواجاً كبيراً في الفترة الماضية، موجة انتقادات من خبراء الأمن لجهة عدم احترام التطبيق لخصوصية المستخدمين. إذ اتضح أن هذا التطبيق يقوم بتحميل بيانات جهات الإتصال و معطيات هواتف المستخدمين إلى خوادم الشركة، ومن دون اي سبب وجيه، وفق ما رصده المحلل الأمني زكاري جوليان لموقع "The Intercept". مما أشعل النار في الهشيم. وبالتالي طفت على السطح التقارير عن عدم توفر الأمن الكافي لخوادم موقع "صراحة" من الثغرات التي لفتت أنظار الباحثين في أمن المعلومات، معظمها تم تصحيحها. والسؤال المطروح اليوم هل فعلا المستخدم مستعد لمواجهة مخاطر تطبيق "صراحة؟

إعلان

أثار موقع وتطبيق "صراحة"  بداية الصيفزوبعة في عالم التواصل الإلكتروني السري دون كشف الهوية، وهو تطبيق يتيح لمستخدميه فرصة البوح والتعبيرعن مشاعرهم، أو تقديم ملاحظات أو حتى انتقادات لأشخاص آخرين دون الكشف عن هويتهم.

تلقف الإعلام هذه الظاهرة باعتبار أن المطور عربي من السعودية، علما أن هذا التطبيق لم يأت بفكرة جديدة، سبقه في هذا الميدان مجموعة تطبيقات عام 2014 و التي طرحت أسئلة عديدة من ناحية خصوصية وأمن المراهقين من التنمر والتحرش وغيره. جميعها انتهت في مجاهل وحشية الإنترنت. تذكرون Ask.F-Whisper secret –Rumr- وأخيرا السيئ الذكر yikyak الذي رغم بلوغ قيمته السوقية في البورصة 4 ملايين دولار، ففي ابريل الماضي أقفل مكاتبه وتطبيقه.

تطبيق "صراحة" الذي أطلق في حزيران2017 في متجر آبل، ومن ثم في متجر غوغل بلاي، كان في البداية كناية عن موقع مغمور لم يسمع به أحد، مع واجهة استخدام بسيطة وغير جذابة والقليل من المستخدمين، حسب الخبراء التقنيين يرجح وصول تطبيق "صراحة" للمراتب الأولى من تحميلات متجر آبل كان نتيجة صدفة سعيدة من قبل سنابشات، التطبيق الأكثر استخداما من قبل المراهقين في العالم العربي، حيث قامت شركة "سنابشات" في فترة اطلاق تطبيق "صراحة" بإتاحة مشاركة الروابط في صور "السنابات". مما دفع جمهور المراهقين لمشاركة روابطهم لحساباتهم السرية على موقع وتطبيق "صراحة".

هنا يجدر بنا التوقف عند بعض الملاحظات، إذ من بديهيات إطلاق أي تطبيق جدّي من طبيعة تطبيق "صراحة" للتواصل السري من دون كشف الهوية، هو اجراء كل التجارب وأخذ كل الاحتياطات اللازمة، أن من قبل المطور ومجموعة المطورين، بالإضافة إلى مسؤولية الحاضنة أو مسّرعة النمّو التي تشرف على أي مشروع تقني، خاصة كل ما يتعلق بحماية بيانات وخصوصية المستخدمين لتطبيق يقول إنه سري ويحمي هوية المستخدمين. وينسحب على هذا الموضوع قضية الحفاظ على سمعة الحاضنة وسمعة المطور و ضرورة الشفافية . فهذه مسؤولية كبرى خاصة ان كان المطور عربي ومن دولة كالمملكة العربية السعودية.

كذلك الأمر يتعلق بموقع التطبيق الذي تعرض لأكثر من ثغرة وهفوة لو تلقفها القراصنة من جهة، كانت تعرضت بيانات وخصوصية المستخدمين للسرقة مما يعرضهم لأن يكونوا ضحية انتحال شخصية أو ضحية هندسة اجتماعية أو ابتزاز، ومن جهة ثانية خادم بأمن هش يصبح مفتوحا لبعثرة كل أنواع البرمجيات الخبيثة.

لم اتطرق في حينها لهذا التطبيق، اذ بالنسبة لي لا يأتي بجديد، ولم أهتم باستشارة بعض خبراء الأمن بالموضوع. علما أن أحد الخبراء الأردنيين،خير الأحمد، كان قد كشف منذ عام ثغرة في موقع "صراحة" وقام بتجربة اختراق ورفع على الموقع ملف "جافاسكريبت" كـ minimal proof of concept ، وراسل المطور زين العابدين توفيق ، مطور موقع و تطبيق "صراحة" ، ليعلمه بوجود الثغرة ، قام هذا الأخير بتصحيحها بسرعة، و لكن دون تنظيف الخادم من الملف التي، حتى اليوم، عند النقر على هذا الرابط يحول إلى رسالة الخبير الأمني .

وفي أواسط شهر أغسطس تمكن الباحث في امن المعلومات شوار خان من كشف ثغرة من نوع XSS اوCross Site Scripting وهي ثغرة في تطبيق الويب الخاص بموقع "صراحة" يمكن استغلالها لـ

  • سرقة حساب مستخدم موقع "صراحة" المستهدف
  • الغاء حساب مستخدم موقع "صراحة" المستهدف
  • قراءة كافة رسائل حساب مستخدم موقع "صراحة" المستهدف.

كيفية الاستغلال كما شرحها خبير الأمن محمد عبد الباسط :

"كل ما على المهاجم معرفته هو اسم المعرف او username الخاص بالمستخدم المستهدف ومن ثم استخدام الثغرة في ارسال رسائل مزيفة تحتوى على الPayload الخاص بالثغرة نفسها لمستخدم معين مستهدف على موقع "صراحه"، سيصل للمستخدم اشعارات بأنه توجد رسائل جديدة لديه في صندوق الرسائل، عند قيام المستخدم بتصفح صندوق الرسائل، سيجد انه قد انهمر برسائل مرسلة من قبل المهاجم، بالنزول الى اسفل والضغط على Load more او "مشاهدة المزيد" لتصفح الرسائل الاخرى ستعمل الثغرة في الحال وتحقق احدى الاهداف الثلاثة السابق ذكرها وبالتالي يفقد الموقع كامل مصداقيته في الحفاظ على سرية وبيانات مستخدميه".

و قد نشر شوار خان الباحث في الأمن المعلوماتي فيديو تظهر عملية استغلالالثغرة التي تم تصحيحها لاحقا .

كما تطرق خبير الأمن محمد عبد الباسط لتشفير موقع "صراحة" الذي لم يقم بتشفير كل صفحات لموقع بحيث يمكن للقراصنة القيام بما يسمى HTTP Downgrading Attacks، للاختراق والحصول على بيانات المستخدمين. و كان محمد عبد الباسط قد كشف هفوة التشفير هذه في فبراير العام الماضي على موقع "صراحة". كما ذكرها في البوست الخاص بموقع "صراحة" الذي نشره العام الماضي على صفحته على موقع فيسبوك.

SymbianSyMoh

هذا ويشير خبير الأمن محمد عبد الباسط من شركة Seekurity المتخصصة بأمن المعلومات،أنه قام  بالتواصل مع المطور منذ حوالي عام عبر "تويتر" لإجراء اختبار اختراقPentesting لموقع "صراحة" بالإضافة إلى تطبيقاته الاخرى (بشكل مجانى) ولكن المطور بالرغم من ردّه على بعض التغريدات تجاهل عرض الشركة وامتنع عن التواصل معه.

طالعتنا مؤخرا الصحف المتخصصة و منها The Intercept بتقرير لـزكاري جوليان، كبير خبراء أمن من الشركة المتخصصة Bishop Fox الذي اكتشف من خلال فحص الحزم الخارجة من جهازه من خلال استخدام برنامج مراقبة، لرؤية أي البيانات كان موقع "صراحة" يرسلها ويستقبلها على هاتفه الذي يعمل بنظام أندرويد. و أن التطبيق يقوم، ما إن يتم تثبيته، بنقل البيانات ومن بين هذه البيانات، كانت جهات الاتصال الخاصة، عناوين البريد الالكترونية وأرقام الهواتف وعدة بيانات ومعطيات أخرى، يتم نقلها إلى خادم التطبيق. ما يعتبر خرقا خطيرا للمعطيات الشخصية.كما أكد ـزكاري جوليان في تقريره أن الشيء نفسه يحدث في نظام تشغيل iOSآبل.

هذا وبين الأمور الأخرى التي تثير التساؤل، والتي كشفها خبراء أمن أخرون، نتيجة تحليل نسخة APK للتطبيق باستخدام موقع Virustotal، أن التطبيق يطلب صلاحيات لا حاجة لتطبيق من هذا النوع لها، كاستخدام الكاميرا لالتقاط الصور في أي وقت، ومن ثم صلاحيته أيضا الكتابة على شريحة SD بالإضافة إلى السماح للتطبيق قراءة البيانات من مستوعب حفظ خارجي؟

ردّ المطور زين العابدين توفيق في تغريدة على موقع "تويتر" على مقال موقعThe Intercept "، أشار فيه إلى أنه: "سيحذف طلب الحصول على البيانات في التحديث المقبل للتطبيق". وأن الصلاحية موجودة لتلبية ميزة "البحث عن أصدقاء" وهي ميزة لم يتمكن التطبيق من تأمينها، حسب زين العابدين توفيق، لأسباب تقنية. وهي ميزة غير متوفرة في التطبيق.  و لماذا طلب صلاحية لميزة لم توفر بعد ؟ ربما يتوقع المستخدمون الذين يوافقون على وصول التطبيق إلى قائمة جهات الاتصال الخاصة بهم أن ذلك يضيف نوعاً من الوظائف للتطبيق، ولكنه في الواقع لا يضيف أي شيء.

تواصلت مع زين العابدين توفيق عبر "تويتر"، وتوجهت له بعدة أسئلة؛ بداية عن مصير البيانات التي جمعها ويحفظها في خوادم التطبيق، وما قضية الصلاحيات التي يطلبها تطبيق "صراحة"، وهو ليس بحاجة لها كالكاميرا مثلا؟

اجابني بسرعة، مشددا على أن خوادم موقع "صراحة" لا تحتفظ بجهات اتصال، أو بيانات أي من المستخدمين حالياً. وان استخدام الكاميرا هو لالتقاط الصور للملف الشخصي.

 ما زلت لا أفهم لماذا تطبيق تواصل سري يخفي الهوية،  بحاجة لتفعيل الكاميرا؟

وأضاف ان تحديث التطبيق سينشر أوائل سبتمبر. و هي إجابات كررها في البيان الصحفي الذي نشره المطور في 29 أغسطس عن تطبيق "صراحة" على موقع "تويتر"

الإجابة "بصراحة" ليست مقنعة، أما مطور تطبيق "صراحة" يحاول من خلال اجاباته " أن يجعل الأمر يبدو وكأن "موقع صراحة لا يفعل أي شيء بالبيانات التي يجمعها. يبقى السؤال لماذا إرسال المعلومات إلى خوادم الشركة عندما لا توجد حاجة لذلك؟ وهذا الأمر من غير الممكن التأكد منه، إلا من خلال إثباتات تقنية يقدمها المطور مع تحليلات أمنية معمقة لخوادم التطبيق والموقع.

فـإن كنتم من مستخدمي هذا التطبيق، فعليكم التنبه بداية لشروط الخدمة التي لفت النظر اليها في فيديو نشره جعفر أبو الندى على قناة يوتيوب التي تحمل اسم update وقام بتحليل سلوكيات تطبيق "صراحة" وعمليات التي قام بها التطبيق وراء الكواليس التي تنتهك خصوصية المستخدمين. كما شرح في "إي ميل" مونت كارلو الدولية مخاطر هذه الخروقات و طبيعتها، وماهية الصلاحيات التي يطلبها تطبيق "صراحة".

ان كنتم لا يهمكم مصير معطياتكم ورسائلكم الخاصة تابعوا استخدام تطبيق "صراحة" ولكن ان كنتم تهتمون بخصوصيتكم و بأمن بياناتكم و بخصوصية و أمن اصدقائكم، فكروا قبل تثبيت هذا التطبيق.

نايلة الصليبي
هذه الصفحة غير متوفرة

يبدو أن خطأ قد وقع من قبلنا يمنع الوصول إلى الصفحة. نعمل على حل هذه المشكلة في أقرب وقت ممكن