الصفحات
بحث
14.7 مليون تثبيت: ثغرات خطيرة بتطبيقات الصحة النفسية أندرويد
أندرويد #أمن_سيبراني #تطبيقات_الصحة_النفسية

14.7 مليون تثبيت: ثغرات خطيرة بتطبيقات الصحة النفسية أندرويد

تاريخ النشر: آخر تحديث: 3 مشاهدة 0 تعليق 4 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
3 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشف تقرير جديد صادر عن شركة Oversecured لأمن الهواتف المحمولة عن وجود ثغرات أمنية خطيرة في عدد من تطبيقات الصحة النفسية المتاحة على نظام أندرويد، والتي جرى تثبيتها أكثر من 14.7 مليون مرة. هذه الثغرات قد تعرض المعلومات الطبية الحساسة للمستخدمين، مثل سجلات العلاج والبيانات الشخصية، لهجمات إلكترونية خطيرة.

في أحد التطبيقات التي جرى تحليلها، اكتشف باحثو الأمن أكثر من 85 ثغرة أمنية متوسطة وعالية الخطورة يمكن استغلالها لتهديد بيانات المستخدمين وخصوصيتهم. تعد هذه التطبيقات، التي صُمم بعضها كمرافق ذكاء اصطناعي لمساعدة الأشخاص الذين يعانون من الاكتئاب والقلق ونوبات الهلع والتوتر والاضطراب ثنائي القطب، من أكثر المصادر حساسية للبيانات الشخصية.

1,575 ثغرة تهدد بيانات المستخدمين

قامت شركة Oversecured بفحص عشرة تطبيقات للهواتف المحمولة مُعلَن عنها كأدوات للمساعدة في مشاكل الصحة النفسية المختلفة. وقد كشف الفحص عن إجمالي 1,575 ثغرة أمنية، منها 54 مصنفة بخطورة عالية، و538 بخطورة متوسطة، و983 بخطورة منخفضة. وعلى الرغم من أن أياً من هذه المشاكل لم يُصنف على أنه حرج، إلا أن العديد منها يمكن استغلاله لاعتراض بيانات تسجيل الدخول، أو انتحال الإشعارات، أو حقن HTML، أو تحديد موقع المستخدم.

صرح سيرجي توشين، مؤسس شركة Oversecured، قائلاً: "تحمل بيانات الصحة النفسية مخاطر فريدة. في الشبكة المظلمة، تُباع سجلات العلاج بأكثر من 1,000 دولار للسجل الواحد، وهو سعر أعلى بكثير من أرقام بطاقات الائتمان."

أنواع الثغرات وكيفية استغلالها

استخدم الباحثون ماسح Oversecured لفحص ملفات APK لتطبيقات الصحة النفسية العشرة بحثاً عن أنماط الثغرات المعروفة. وكشف التقرير، الذي شاركته Oversecured مع BleepingComputer، أن بعض التطبيقات التي جرى التحقق منها "تقوم بتحليل معرفات الموارد الموحدة (URIs) التي يوفرها المستخدم دون التحقق الكافي".

على سبيل المثال، يستخدم أحد تطبيقات العلاج الذي يمتلك أكثر من مليون عملية تنزيل دالة Intent.parseUri() على سلسلة تحكم خارجية، ويطلق كائن الرسائل الناتج (intent) دون التحقق من المكون الهدف. هذا يسمح للمهاجم بإجبار التطبيق على فتح أي نشاط داخلي، حتى لو لم يكن مخصصاً للوصول الخارجي. وتشرح Oversecured أن "هذه الأنشطة الداخلية غالباً ما تتعامل مع رموز المصادقة وبيانات الجلسة، مما قد يمنح المهاجم حق الوصول إلى سجلات علاج المستخدم."

تضمنت المشاكل الأخرى تخزين البيانات محلياً بطريقة تمنح أي تطبيق على الجهاز إمكانية الوصول للقراءة. اعتماداً على المعلومات المحفوظة، يمكن أن يكشف هذا عن تفاصيل العلاج، مثل إدخالات العلاج، وملاحظات جلسات العلاج السلوكي المعرفي (CBT)، ومختلف التقييمات. كما اكتشفت Oversecured بيانات تهيئة نصية واضحة (plaintext configuration data)، بما في ذلك نقاط نهاية واجهة برمجة التطبيقات الخلفية وعنوان URL لقاعدة بيانات Firebase مدمج، ضمن موارد ملفات APK.

علاوة على ذلك، تستخدم بعض التطبيقات المعرضة للخطر فئة java.util.Random غير الآمنة من الناحية التشفيرية لتوليد رموز الجلسة أو مفاتيح التشفير. ووفقاً للباحثين، "تفتقر معظم التطبيقات العشرة إلى أي شكل من أشكال الكشف عن الروت." ففي الجهاز الذي جرى عمل روت له (rooted)، يمكن لأي تطبيق يمتلك صلاحيات الروت الوصول إلى جميع بيانات الصحة المخزنة محلياً.

خطورة بيانات الصحة النفسية

أفادت Oversecured أن ستة من التطبيقات العشرة التي جرى تحليلها "لم تسجل أي نتائج عالية الخطورة، ولكنها لا تزال تحمل مشكلات متوسطة الخطورة تضعف وضعها الأمني العام." ويشير الباحثون إلى أن "هذه التطبيقات تجمع وتخزن بعضاً من أكثر البيانات الشخصية حساسية على الهواتف المحمولة: نصوص جلسات العلاج، سجلات الحالة المزاجية، جداول الأدوية، مؤشرات إيذاء النفس، وفي بعض الحالات، معلومات محمية بموجب قانون HIPAA."

من خلال ملاحظات BleepingComputer، يبلغ إجمالي عدد التنزيلات لهذه التطبيقات التي فحصتها Oversecured أكثر من 14.7 مليون تنزيل. أربعة تطبيقات فقط تلقت تحديثاً في الشهر الحالي، بينما يعود تاريخ آخر تحديث للبقية إلى نوفمبر 2025 أو حتى سبتمبر 2024. جرت عمليات مسح Oversecured بين 22 و23 يناير، واستهدفت أحدث إصدارات التطبيقات المتاحة في ذلك الوقت. لا يمكن للباحثين تأكيد ما إذا كان قد جرى معالجة أي من الثغرات المكتشفة.

امتنعت BleepingComputer عن مشاركة أسماء التطبيقات المتأثرة نظراً لأن Oversecured ما زالت في طور الكشف عن الثغرات، وذلك لضمان سلامة المستخدمين وعدم استغلال هذه المعلومات قبل معالجتها.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##تطبيقات_الصحة_النفسية ##أندرويد ##تسريب_بيانات

الأسئلة الشائعة

كشف تقرير Oversecured عن وجود 1,575 ثغرة أمنية في تطبيقات الصحة النفسية على أندرويد، مما يعرض بيانات المستخدمين الحساسة للخطر.

يبلغ إجمالي عدد تثبيتات التطبيقات المتأثرة أكثر من 14.7 مليون مرة على Google Play، مما يشير إلى عدد كبير من المستخدمين المحتملين المتأثرين.

يمكن أن تتسرب سجلات العلاج، وملاحظات الجلسات، وسجلات الحالة المزاجية، وجداول الأدوية، ومؤشرات إيذاء النفس، بالإضافة إلى معلومات محمية بموجب قانون HIPAA.

لم تكشف BleepingComputer عن أسماء التطبيقات لأن الثغرات ما زالت في طور الإفصاح من قبل Oversecured، حرصاً على سلامة المستخدمين وعدم استغلال المعلومات قبل معالجتها.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!