تطلق Google ميزة أمان Android جديدة للمساعدة في الكشف عن هجمات برامج التجسس
تطرح Google ميزة جديدة للاشتراك في Android تهدف إلى مساعدة الباحثين الأمنيين في التحقيق في هجمات برامج التجسس.
تُسمى هذه الميزة “تسجيل التطفل” وهي جزء من وضع الحماية المتقدم لنظام Android، والذي أطلقته Google العام الماضي، وهو وضع أمان خاص يتيح ميزات معينة بهدف جعل اختراق الجهاز أكثر صعوبة. تم تصميم وضع الحماية المتقدمة لمواجهة هجمات برامج التجسس الحكومية وأجهزة الطب الشرعي التابعة للشرطة التي تحاول استخراج البيانات من هاتف الشخص.
ويمكن أيضًا الجمع بين هذين النوعين من الهجمات. وفي حالة واحدة موثقة على الأقل في صربيا، استخدمت السلطات أداة الطب الشرعي لإنفاذ القانون التي صنعتها شركة Cellebrite لفتح جهاز، ثم قامت بتثبيت برنامج تجسس كخطوة أخرى لمواصلة مراقبة الهدف.
يعد طرح Intrusion Logging هو المرة الأولى التي تطلق فيها شركة تصنيع الهواتف ميزة تهدف إلى مساعدة الباحثين الأمنيين على التحقيق في هجمات برامج التجسس. ولتحقيق ذلك، يقوم نظام Intrusion Logging الخاص بنظام Android بإنشاء نوع جديد من السجلات، والذي يسجل الأخطاء ويجمع الأدلة عندما يحدث خطأ ما في البرنامج، لتوفير رؤية واضحة لهجمات برامج التجسس المشتبه بها.
منظمة العفو الدولية، التي عملت مع جوجل لتطوير هذه الميزة، تسمى تسجيل التطفل “تحول أساسي في كمية ونوعية بيانات الطب الشرعي المتاحة على أجهزة أندرويد”.
وكتبت منظمة العفو الدولية في تدوينة تشرح بالتفصيل كيفية عمل سجلات التسلل: “حتى الآن، اعتمد تحليل الطب الشرعي على سجلات لم يتم تصميمها مطلقًا لكشف التسلل”. وهذا يعني أن السجلات السابقة لم تكن مفيدة للباحثين، لأنها لم تبقى على الجهاز لفترة طويلة، وغالبًا ما تمت الكتابة فوقها، مما أدى إلى محو الأدلة المحتملة للهجمات بشكل فعال.
صرح Donncha Ó Cearbhaill، رئيس مختبر الأمن التابع لمنظمة العفو الدولية، لـ TechCrunch أن القيود الفنية لنظام Android “جعلت من الصعب إجراء تحليل عميق لسجلات وملفات النظام بحثًا عن علامات الاختراق، على عكس نظام التشغيل iOS”.
قال أوسيربهيل، الذي حقق لسنوات في العشرات من حالات إساءة استخدام برامج التجسس حول العالم: “تعني هذه القيود أننا لم نتمكن من اكتشاف الهجمات المعروفة ضد نظام Android بشكل موثوق”.
يجب أن تتحسن القدرة على اكتشاف هجمات برامج التجسس بشكل أفضل من خلال تسجيل التطفل. أعلنت جوجل عن هذه الميزة قبل عام، لكن الشركة تنشرها الآن فقط. وفي تدوينة يوم الثلاثاء، قالت جوجل إن تسجيل التطفل “يتم طرحه حاليًا على جميع الأجهزة التي تعمل بتحديث Android 16 ديسمبر والإصدارات الأحدث”.
كيف يعمل تسجيل التسلل
يلتقط تسجيل التطفل الأحداث المتعلقة بالأمن والتطفلات المحتملة. بالنسبة للمبتدئين، تقوم الميزة بإنشاء وجمع السجلات مرة واحدة يوميًا وتخزينها مشفرة في حساب Google الخاص بالمستخدمين في السحابة. من المحتمل أن يؤدي تحميل السجلات إلى السحابة إلى منع برامج التجسس من حذف الأدلة التي تشير إلى اختراق الجهاز. يتم أيضًا تشفير السجلات بحيث لا يتمكن سوى المستخدم من الوصول إلى السجلات ومشاركتها مع المحققين، ولا يمكن لـ Google الوصول إليها.
من بين الأحداث التي يتتبعها برنامج Intrusion Logging وقت فتح الهاتف؛ عندما يتم تثبيت التطبيقات وإلغاء تثبيتها؛ ما هي المواقع والخوادم التي يتصل بها الهاتف؛ ما إذا كان شخص ما متصلاً بـ Android Debug Bridge، وهي أداة تسمح لجهاز كمبيوتر أو جهاز مثل أداة الطب الشرعي مثل Cellebrite بالاتصال بجهاز Android؛ وما إذا كان شخص ما قد حاول حذف السجلات المتعلقة بهذه الأحداث، مما قد يشير إلى محاولة إخفاء أدلة الهجوم.
في حالة وقوع هجوم ببرامج تجسس، يمكن أن تساعد هذه السجلات المحققين على فهم متى وكيف قامت السلطات باختراق جهاز شخص ما أو فتحه بالقوة وربطه بأداة الطب الشرعي، أو استخدامه لتثبيت برامج تجسس أو برامج مطاردة. يمكن للسجلات أيضًا تحديد ما إذا كان الهاتف متصلاً في مرحلة ما بموقع ويب ضار يحاول اختراق الجهاز الزائر، أو تم الوصول إلى خوادم مصممة لاستخراج البيانات من الهاتف.
اتصل بنا
هل لديك المزيد من المعلومات حول هجمات برامج التجسس، أو صانعي برامج التجسس؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase @lorenzofb، أو البريد الإلكتروني.
على الرغم من أنها خطوة إلى الأمام، إلا أن تسجيل التطفل له بعض القيود. في الوقت الحالي، إلى جانب الحاجة إلى تمكين وضع الحماية المتقدمة، تتطلب هذه الميزة أحدث إصدار لبرنامج Android، وهي متاحة فقط لأجهزة Pixel التي تصنعها Google، ويجب ربط الجهاز بحساب Google. يحتفظ تسجيل التطفل بسجلات لسجل التنقل والاتصالات في المتصفح، والتي قد يكون الناس حذرين من مشاركتها مع المحققين.
تقول جوجل إن وضع الحماية المتقدمة وتسجيل التطفل مخصصان للأشخاص الذين يعتقدون أنهم قد يتعرضون لخطر الهجمات التي تتم باستخدام برامج التجسس وأجهزة الطب الشرعي، مثل المدافعين عن حقوق الإنسان والناشطين والصحفيين والمعارضين. يشبه وضع الحماية المتقدمة وضع التأمين لأجهزة Apple، والذي كان مخصصًا أيضًا للمستخدمين المعرضين للخطر ويُنظر إليه على أنه وسيلة فعالة للحماية من برامج التجسس.
وفي شهر مارس الماضي، قالت شركة Apple إنها لم تكتشف أبدًا هجومًا ناجحًا ضد المستخدمين الذين قاموا بتمكين وضع Lockdown Mode. وفي عام 2023، قال باحثون أمنيون في Citizen Lab إن وضع Lockdown Mode منع بشكل فعال محاولة إصابة هدف ببرامج التجسس التابعة لشركة NSO.
وفي منشور مدونتها، أدرجت منظمة العفو الدولية تعليمات خطوة بخطوة حول كيفية تنزيل السجلات إذا اشتبه المستخدم أو تم إخطاره بأنه مستهدف ببرامج تجسس. أرسلت شركات Apple وGoogle وMeta إشعارات بالتهديد إلى المستخدمين لسنوات، والتي يقول الباحثون إنها كانت حاسمة في العثور على حالات سوء الاستخدام وكشفها.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. هذا لا يؤثر على استقلالنا التحريري.
