يسمح ثغرة أمنية محتملة في واجهة برمجة تطبيقات الملء التلقائي لنظام Android Oreo لمديري كلمات المرور بتسريب البيانات مثل كلمات المرور أو العناوين أو بطاقات الائتمان.
الملء التلقائي هي واحدة من أكبر الميزات الجديدة وأكثرها انتشارًا والتي تم تقديمها مع إصدار Android 8.0 Oreo. العديد من تطبيقات إدارة كلمات المرور المختلفة، مثل LastPass، قامت بالفعل بتطبيق واجهة برمجة التطبيقات الجديدة هذه في تطبيقاتها. وبينما يمكن أن يكون كذلك التحسن تماما على الرغم من عمليات تنفيذ الملء التلقائي السابقة باستخدام خدمات إمكانية الوصول، هناك ثغرة أمنية محتملة يجب وضعها في الاعتبار. في الشهر الماضي، تم نشر مستند تقني على GitHub، يوثق وجود خلل متأصل في واجهة برمجة تطبيقات Android Oreo Autofill التي يمكن أن من المحتمل أن يؤدي ذلك إلى قيام مدير كلمات المرور الخاص بك بتسريب بياناتك الشخصية أكثر مما سمحت له به. سنقوم بعمل ملخص سريع للورقة البيضاء التي كتبها مارك ميرفي (المعروف باسم كومنز وير) وتم نشره على صفحته على GitHub في 8 أغسطس 2017.
خطأ محتمل في تسرب البيانات في واجهة برمجة تطبيقات الملء التلقائي لنظام Android Oreo
كيف يعمل الخلل؟
يعد تنفيذ الملء التلقائي في Android Nougat (والإصدارات الأقل) والمتصفحات مثل Google Chrome أمرًا بسيطًا حقًا. عادةً، تستخدم تطبيقات إدارة كلمات المرور خدمات إمكانية الوصول لفحص محتويات الشاشة بحثًا عن مربع تسجيل الدخول والتوصية ببيانات الملء التلقائي بناءً على ما تجده. وبينما كان يعمل، فإنه يمكن أن يسبب تأخرا كبيرا.
على نظام التشغيل Android Oreo، يعمل هذا بشكل مختلف بعض الشيء، حيث أصبحت تطبيقات كلمات المرور مدعومة رسميًا الآن من خلال واجهة برمجة تطبيقات الملء التلقائي. لم تعد تطبيقات كلمات المرور التابعة لجهات خارجية تتطلب خدمات إمكانية الوصول بعد الآن، حيث يمكنها الآن القيام بدور خدمة الملء التلقائي، والتواصل مع التطبيقات من خلال إطار عمل الملء التلقائي. عندما يركز المستخدم على عنصر واجهة مستخدم، سيقوم النظام بتجميع بعض المعلومات حول عنصر واجهة المستخدم/النموذج وإرسالها إلى تطبيق الملء التلقائي. يقوم التطبيق بعد ذلك بإرجاع بيانات الملء التلقائي ذات الصلة مثل كلمات المرور أو رسائل البريد الإلكتروني أو بطاقات الائتمان أو أي نوع آخر من البيانات الحساسة. يعمل نظام أندرويد كوسيط بين التطبيق الذي يقوم بتخزين البيانات والتطبيق الذي يطلبها.
ومع ذلك، يمكن للتطبيقات الضارة أو البرامج الضارة الاستفادة فعليًا من ميزة الملء التلقائي للحصول على المزيد من البيانات لنفسها. يمكن للنشاط الضار طلب إدخال بيانات الملء التلقائي الإضافية باستخدام عنصر واجهة مستخدم غير مرئي أو مخفي. بينما يوافق المستخدم على ملء إحدى الأدوات المرئية، مثل نموذج تسجيل الدخول أو شيء مشابه، تحصل الأداة غير المرئية أيضًا على بيانات إضافية دون أن تراها. قد يكون هذا أمرًا خطيرًا حقًا إذا كانت تلك المعلومات المسربة هي كلمة المرور أو العنوان أو تفاصيل بطاقة الائتمان الخاصة بك!
تعرض لقطات الشاشة أعلاه تطبيق اختبار ضار يستفيد من هذا الخلل الأمني.
إجابة جوجل على المشكلة
وفقًا لـ CommonsWare، لم يكن لهذه المشكلة الأمنية حل عام نشرته Google حتى الآن. ومع ذلك، فإننا نعلم أن Google على علم بالمشكلة. تنص CommonsWare على أن مهندسي Google أقروا بوجود المشكلة في تقرير تعقب المشكلات الخاص، ولكن تم حذفها سيكون من الصعب (إن لم يكن من المستحيل) تصحيحه فعليًا أو طرح الإصلاح.
لكن هذا لا يعني أن الملء التلقائي غير آمن تمامًا للاستخدام، حيث تتخذ Google نهجًا آخر لضمان سلامة البيانات. الشركة هي الضغط من أجل جعل خدمات الملء التلقائي تتعامل مع المشكلة من نهايتها وعلى هذا النحو، تحاول زيادة وعي المطورين لتحسين موفري الملء التلقائي لديهم وجعلهم أكثر أمانًا. ما هو المقترح بالضبط؟
بادئ ذي بدء، موفري الملء التلقائي يجب تقسيم بياناتهم. بدلاً من الاحتفاظ بجميع بيانات الملء التلقائي في مجمع واحد، يجب على المطورين تقسيم بيانات المستخدم المخزنة في أقسام. على سبيل المثال، قسم العنوان/الهاتف، وقسم بطاقة الائتمان، وقسم كلمة المرور/اسم المستخدم، وما إلى ذلك. يجب أن تقوم خدمة الملء التلقائي بإعادة بيانات قسم واحد فقط في كل مرة بناءً على عنصر واجهة المستخدم الذي تم التركيز عليه. هذا هو واحد من الصفحات المتاحة للجمهور في تطبيقات الملء التلقائي، تحمي نفسها من تسرب البيانات إلى عناصر واجهة المستخدم غير المرئية.
هناك أيضًا بعض الأشياء الأخرى التي يجب على مطوري برامج إدارة كلمات المرور القيام بها، وفقًا لمهندسي Google. على سبيل المثال، يجب على موفر الملء التلقائي إعادة البيانات فقط إلى التطبيق المحدد الذي قدمها في المقام الأول. يجب أن يتم ذلك عن طريق التحقق من اسم الحزمة والتوقيع العام للتطبيق حتى لا يتمكن حتى ملف APK المعدل من الوصول إليه. والشيء الآخر هو أن تطبيقات الملء التلقائي تتطلب المصادقة قبل تقديم البيانات فعليًا يقوم نشاط المصادقة هذا بإبلاغ المستخدم بنوع البيانات التي سيتم توفيرها للتطبيق الذي يطلبها. في الواقع، تحتوي هذه النصيحة على العديد من الأخطاء، وأهمها هو أن Google لا يتم تنفيذ هذه النصائح فعليًا.
ضع في اعتبارك أن العديد من المقترحات المذكورة أعلاه مأخوذة من تقرير تعقب المشكلات الخاص بـ CommonsWare، وليس من أي صفحة وثائق رسمية لـ Google. لمزيد من التفاصيل الفنية حول كيفية حماية التطبيقات التي تستخدم واجهة برمجة تطبيقات الملء التلقائي لنفسها من هذا النوع من الهجمات، نوصي بشدة بقراءة ورقة بيضاء كاملة من كومنز وير.
ما هي التطبيقات الآمنة من هذا الخلل؟
لقد تواصلنا مع مطوري 1Password وEnpass وLastPass بشأن هذه الثغرة الأمنية، وقد قامت فرق الأمان التي تقف وراء هذه التطبيقات الثلاثة ادعى أنهم كذلك يؤمن، على الرغم من أننا لم نتحقق بعد من هذه الادعاءات.
كما نرى في البيانات أعلاه، يتطلب 1Password مصادقة المستخدم قبل ملء البيانات، وكذلك إعلامه بالبيانات التي سيتم ملؤها مسبقًا. يساعد هذا أيضًا في حل مشكلة الملء الصامت، حيث ستظهر نافذة منبثقة للمصادقة لكل نشاط يطلب بيانات الملء التلقائي.
لن يكشف Enpass مطلقًا عن سلسلة المفاتيح بأكملها للتطبيق الذي يطلبها، سواء كانت ضارة أو أصلية. سيتم عرض العناصر المحفوظة التي تطابق اسم حزمة التطبيق الطالب فقط للمستخدم. وأكدوا أيضًا أنه سيكون لديهم المزيد من الإجراءات بناءً على نصيحة Google.
علاوة على ذلك، أكد لنا LastPass أنه على الرغم من عدم علمهم بالمشكلة قبل إصدار Android Oreo، إلا أن تطبيقهم يستخدم تقسيم البيانات لحماية المستخدمين، إلى جانب عمليات التحقق الأخرى للتأكد من أن LastPass يملأ فقط التطبيق المرتبط بالإدخال.
على الرغم من أنه من المفترض ألا تكون هناك أي مشكلات على الإطلاق في استخدام هذه التطبيقات الثلاثة، إذا كنت تريد البقاء خاليًا تمامًا، فيجب عليك تعطيلها الملء التلقائي بالكامل على هاتفك حتى تتمكن من التأكد مع مطور إدارة كلمات المرور الخاص بك من أن تطبيقه آمن من هذا الخط هجوم. لحسن الحظ، يمكن القيام بذلك بسهولة من خلال الانتقال إلى الإعدادات > النظام > اللغات والإدخال > خيارات متقدمة والعثور على تفضيل "خدمة الملء التلقائي"، والنقر عليه واختيار "لا شيء".
كما قلنا أعلاه، ليس من المعروف ما إذا كان بإمكان Google بالفعل طرح إصلاح لهذه المشكلة، لذا فإن استخدام التطبيقات الموثوقة أو ببساطة تعطيل الميزة هي الطريقة الوحيدة التي يمكنك من خلالها البقاء آمنًا. إذا كنت ترغب في قراءة المزيد عن هذه المشكلة وجميع التفاصيل المرتبطة بها، عليك بقراءة النص الأصلي ورقة بيضاء توثق ذلك على جيثب.
تم تحديث هذه المقالة بتاريخ 13/9/17 لتعكس بشكل أكثر دقة الآثار المترتبة على ردود LastPass وEnpass و1Password.