تطرح Google ميزة الاشتراك الجديدة لنظام Android لمساعدة الباحثين الأمنيين في التحقيق في هجمات برامج التجسس.
تسمى هذه الميزة “تسجيل الدخول للتطفل” وهي متاحة على نظام Android وضع الحماية المتقدمالذي أطلقته جوجل العام الماضي، وهو وضع أمان خاص يمكن تشغيله عن طريق تشغيل ميزات محددة لجعل جهازك أكثر صعوبة في الاختراق. تم تصميم وضع الحماية المتقدمة لمواجهة هجمات برامج التجسس الحكومية وأجهزة الطب الشرعي التابعة للشرطة التي تحاول استخراج البيانات من هاتف الشخص.
ويمكن أيضًا الجمع بين هذين النوعين من الهجمات. وفي حالة واحدة موثقة على الأقل في صربيا، استخدمت السلطات أداة الطب الشرعي الخاصة بشركة Cellebrite لفتح الجهاز ثم قامت بتثبيت برنامج تجسس لمزيد من مراقبة الهدف.
يمثل إدخال تسجيل التطفل المرة الأولى التي يقدم فيها صانع الهاتف ميزة تهدف إلى مساعدة الباحثين الأمنيين على التحقيق في هجمات برامج التجسس. ولتحقيق ذلك، تقوم ميزة تسجيل التطفل في Android بإنشاء نوع جديد من السجل الذي يسجل الأخطاء ويجمع الأدلة عند حدوث مشكلات في البرامج لتوفير نظرة ثاقبة حول هجمات برامج التجسس المشتبه بها.
ووصفت منظمة العفو الدولية، التي عملت مع جوجل لتطوير هذه الميزة، تسجيل التطفل بأنه “تغيير أساسي في كمية ونوعية بيانات الطب الشرعي المتاحة على أجهزة أندرويد”.
“حتى الآن، اعتمدت تحليلات الطب الشرعي على سجلات لم يكن الهدف منها أبدًا اكتشاف عمليات التطفل.” كتبت منظمة العفو الدولية في تدوينة والذي يشرح بالتفصيل كيفية عمل تسجيل التسلل. وهذا يعني أن السجلات السابقة لم تكن ذات فائدة كبيرة للباحثين لأنها لم تبقى على الجهاز لفترة طويلة، وغالبًا ما تم استبدالها، مما أدى إلى محو الأدلة المحتملة للهجمات بشكل فعال.
صرح Donncha Ó Cearbhaill، رئيس مختبر الأمن التابع لمنظمة العفو الدولية، لـ TechCrunch أن القيود الفنية لنظام Android “تجعل من الصعب تحليل السجلات وملفات النظام بدقة بحثًا عن علامات الاختراق، على عكس نظام التشغيل iOS”.
وقال أوسيربهيل، الذي كان يحقق في العشرات من انتهاكات برامج التجسس حول العالم لسنوات: “تعني هذه القيود أننا غير قادرين على اكتشاف الهجمات المعروفة على نظام Android بشكل موثوق”.
ينبغي تحسين القدرة على اكتشاف هجمات برامج التجسس بشكل أفضل من خلال تسجيل عمليات الاقتحام. أعلنت جوجل عن هذه الميزة قبل عاملكن الشركة تنفذه الآن فقط. وفي تدوينة يوم الثلاثاء، قالت جوجل إن ميزة تسجيل التطفل “يتم طرحها حاليًا على جميع الأجهزة التي تعمل بتحديث Android في 16 ديسمبر أو إصدار أحدث”.
كيف يعمل تسجيل التسلل
يسجل تسجيل التطفل الأحداث الأمنية والتطفلات المحتملة. للبدء، تقوم الميزة بإنشاء وجمع السجلات مرة واحدة يوميًا ثم تخزينها في نموذج مشفر في حساب Google الخاص بالمستخدم في السحابة. من المحتمل أن يؤدي تحميل السجلات إلى السحابة إلى منع برامج التجسس من إزالة الأدلة التي تشير إلى اختراق الجهاز. يتم أيضًا تشفير السجلات بحيث لا يتمكن سوى المستخدم من الوصول إليها ومشاركتها مع المحققين، ولا يمكن لشركة Google الوصول إليها.
تتضمن الأحداث المسجلة بواسطة Intrusion Logging ما يلي: تاريخ إلغاء قفل الهاتف؛ بعد تثبيت التطبيق وإلغاء تثبيته؛ ما هي المواقع والخوادم التي يتصل بها الهاتف؛ أو أي شخص متصل بـ Android Debug Bridge، وهي أداة تمكن الكمبيوتر أو الجهاز مثل أداة الطب الشرعي مثل Cellebrite الاتصال بجهاز Android الخاص بك؛ وما إذا كان أي شخص قد حاول حذف السجلات المتعلقة بهذه الأحداث، مما قد يشير إلى محاولة إخفاء أدلة الهجوم.
في حالة وقوع هجوم ببرامج تجسس، يمكن أن تساعد هذه السجلات المحققين في فهم متى وكيف قامت السلطات باختراق جهاز شخص ما أو فتحه بالقوة وربطه بأداة الطب الشرعي أو استخدامه لتثبيت برامج تجسس أو برامج مطاردة. يمكن للسجلات أيضًا تحديد ما إذا كان الهاتف قد اتصل في مرحلة ما بموقع ويب ضار يحاول اختراق الجهاز الزائر أو قام بالوصول إلى الخوادم المصممة لاستخراج البيانات من الهاتف.
اتصل بنا
هل لديك المزيد من المعلومات حول هجمات برامج التجسس أو منشئيها؟ من جهاز لا يعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن عبر تطبيق Signal على الرقم +1 917 257 1382، عبر Telegram وKeybase @lorenzofb أو البريد الإلكتروني.
على الرغم من أن تسجيل عمليات التطفل يعد خطوة إلى الأمام، إلا أن له بعض القيود. في الوقت الحالي، بالإضافة إلى الحاجة إلى تمكين وضع الحماية المتقدمة، تتطلب الميزة أحدث إصدار من برنامج Android، وهي متاحة فقط لأجهزة Pixel التي تصنعها Google، ويجب أن يكون الجهاز متصلاً بحساب Google. يحتفظ تسجيل التطفل بسجلات التنقل في المتصفح وسجل الاتصال التي قد لا يشاركها الأشخاص مع المحققين.
وتقول جوجل إن وضع الحماية المتقدمة وتسجيل التطفل مخصصان للأشخاص الذين يعتقدون أنهم قد يكونون عرضة للهجمات باستخدام برامج التجسس وأجهزة الطب الشرعي، مثل المدافعين عن حقوق الإنسان والناشطين والصحفيين والمعارضين. يشبه وضع الحماية المتقدمة وضع القفل لأجهزة Apple، والذي كان مخصصًا أيضًا للمستخدمين المعرضين للخطر ويُنظر إليه على أنه وسيلة فعالة للحماية من برامج التجسس.
وفي شهر مارس الماضي، قالت شركة Apple إنها لم تكتشف أبدًا هجومًا ناجحًا على المستخدمين الذين قاموا بتشغيل وضع القفل. في عام 2023، وجد باحثون أمنيون في Citizen Lab أن وضع Lockdown Mode يمنع بشكل فعال محاولة إصابة هدف ببرامج تجسس NSO.
وفي منشور مدونتها، قدمت منظمة العفو الدولية تعليمات خطوة بخطوة لتنزيل السجلات إذا اشتبه المستخدم أو تم إخطاره بأنه مستهدف ببرامج تجسس. ترسل شركات Apple وGoogle وMeta إشعارات تهديد للمستخدمين منذ سنوات، وهو ما يقول الباحثون إنه أمر بالغ الأهمية في اكتشاف حالات إساءة الاستخدام وكشفها.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. وهذا لا يؤثر على استقلالنا التحريري.
