الولايات المتحدة - النجاح الإخباري - اصدرت شركة جوجل الأمريكية، خلال الشهر الماضي، تحديث جديد لتصحيح أحد أخطاء نظام التشغيل اندرويد، والتي يمكن أن تسمح للمتسللين بنشر البرامج الضارة إلى هاتف قريب عبر ميزة غير معروفة بالنظام تسمى NFC beaming.
وبحسب ما ذكره موقع "zdnet" التقني، تعمل ميزة NFC beaming عبر خدمة داخل أندرويد تعرف باسم Android Beam، وتتيح هذه الخدمة لجهاز أندرويد إرسال بيانات مثل الصور أو الملفات أو مقاطع الفيديو أو حتى التطبيقات إلى جهاز آخر قريب يستخدم موجات الراديو NFC (الاتصال بالحقل القريب)، كبديل للواي فاي أو خاصية Bluetooth.
وعادة يتم تخزين التطبيقات (أو ملفات APK) المرسلة عبر ميزة NFC beaming على القرص، ويظهر إشعار على الشاشة يسأل مالك الجهاز عما إذا كان يريد السماح لخدمة NFC بتثبيت تطبيق من مصدر غير معروف.
ولكن في يناير من هذا العام، اكنشف باحث أمني يدعي "Y.Shafranovich"، أن التطبيقات المرسلة عبر NFC على أندرويد 8 أو الإصدارات الأحدث لن تظهر هذا الإشعار، بدلا من ذلك سيسمح الإشعار للمستخدم بتثبيت التطبيق بنقرة واحدة دون أي تحذير أمان.
ويعد عدم وجود هذا الإشعار خلل أمني خطير بنظام التشغيل، حيث لا يسمح لأجهزة أندرويد تثبيت التطبيقات من "مصادر غير معروفة"، من خارج متجر تطبيقات أندرويد جوجل بلاي بحيث يعتبر النظام هذه المصادر غير موثوق بها وغير متحقق منها عبر أنظمة أمان جوجل.
وإذا أراد المستخدمون تثبيت تطبيق من خارج متجر Play، فيجب عليهم زيارة قسم "تثبيت التطبيقات من مصادر غير معروفة" في نظام التشغيل أندرويد الخاص بهم وتمكين الزر بجوار تلك الميزة.
وكان خيار "التثبيت من مصادر غير معروفة" إعدادًا مثبتًا على مستوى النظام حتي أندرويد 8، ولكن بدءًا منه أعادت جوجل تصميم هذه الآلية في إعداد قائم على التطبيق.
وبدءًا من الإصدارات الحديثة لأندرويد، يمكن للمستخدمين زيارة قسم "تثبيت التطبيقات غير المعروفة" في إعدادات أمان النظام، والسماح للتطبيقات المحددة بتثبيت تطبيقات أخرى علي سبيل المثال، يسمح الإعداد لتطبيقات مثل كروم وDropbox لتثبيت تطبيقات آخرى دون أن يتم حظرها، علي غرار متجر Play.
ويكمن الخلل رقم CVE-2019-2114 في تطبيق Android Beam والذي يعتبر ضمن تطبيقات جوجل ويتلقى نفس مستوى الثقة كتطبيق رسمي.
وقالت شركة جوجل: "إن هذا لم يكن مقصودًا أن يحدث ، لأن خدمة Android Beam لم تكن تعني أبدًا وسيلة لتثبيت التطبيقات، ولكن كطريقة لنقل البيانات من جهاز إلى جهاز"، وقامت بإزالة تصحيحات خدمة Android Beam من قائمة التطبيقات الموثوق بها في شهر أكتوبر الماضي.
ومع ذلك، لا يزال العديد من ملايين المستخدمين في خطر، إذا كان لدى المستخدمين خدمة NFC وتم تمكين خدمة Android Beam ، فيمكن للمتسللون استغلال نقطة ضعف الخدمة وزرع برامج ضارة على هواتفهم.
وبما أن لا توجد مطالبة بالتثبيت من مصدر غير معروف، فإن النقر علي الاشعار يبدأ بتثبيت التطبيق الضار، وللحفاظ على أمان الجهاز، يمكن لأي مستخدم تعطيل كل من ميزة NFC وخدمة Android Beam، أو تحديث الهاتف لتلقي تحديثات الأمان لشهر أكتوبر 2019.
