في الأوّل من أيلول/سبتمبر، أطلقت وزارة الصحّة العامّة تطبيق “معاً ضدّ الكورونا” (Ma3an – Together Against Corona) لتتبُّع أثر المخالطين بهدف وقف تفشّي فيروس كوفيد-19. وبعد إجراء مراجعة أوّلية، تبيّن لـ”سمكس” أنّ بعض الثغرات الأمنية تشوب التطبيق، بالرغم من أنّه لا يجمع سوى كمية محدودة من البيانات الشخصية.
أعلنت وزارة الصحّة العامة، بالتعاون مع كلية الصحّة والعلوم في الجامعة الأميركية في بيروت عن إطلاق تطبيق “معاً” في 16 تموز/يوليو، ثمّ أطلقته على متجرَيْ “أب ستور” من “آبل” و“بلاي ستور” من “غوغل” في بداية شهر أيلول/سبتمبر. من الناحية الوظيفية، يستخدم التطبيق تقنية البلوتوث وإذن إدارة البلوتوث (Bluetooth administration permission) لتنبيه المستخدِمين عندما يخالطون مستخدِمين آخرين تأكّدت إصابتهم بفيروس كوفيد-19. وأثناء تفعيل التطبيق، يجمع الأخير “بيانات اتّصال” تتضمّن “هوية مشفّرة للمستخدِم؛ ورموزاً عشوائية ومؤقّتة يُنتِجها الخادِم؛ وقوّة إشارة البلوتوث لدى مستخدِمي تطبيق “معاً” الآخرين الذين تخالطونهم؛ وتاريخ ووقت المخالطة”.
في حال تأكّدتْ إصابة أحد المستخدِمين بفيروس كوفيد-19، عليهم تحميل نتيجة الفحص الإيجابية على التطبيق، علمًا أنّ التطبيق يشير أيضاً إلى أنّه يمكن للمسؤولين في وزارة الصحّة العامّة الاتّصال بالمستخدِمين للتأكّد من أنّهم حمّلوا نتيجة فحصهم الإيجابية. وبعد تحميل نتيجة الفحص الإيجابية بنجاح، يُرسِل التطبيق إشعاراً لطلب تحميل “بيانات الاتّصال” الخاصة بالمستخدِم، وهو يحتفظ بسجلّ البيانات ثمّ يحذفه تلقائياً بعد 21 يوماً، بموجب سياسة الخصوصيّة.
أطلقت الحكومات حول العالم تطبيقات لتتبّع المخالِطين للحدّ من انتشار الفيروس، ولكنّ الكثير من هذه التطبيقات، كتلك التي أُطلِقَت في البحرين والكويت وقطر، لقيت انتقادات لجمعها بيانات تحديد الموقع الجغرافي الخاصة باللمستخدِمين، أي أنّها كانت تتقفى أثرهم عملياً وتنتهك حقّهم في الخصوصية. بالإضافة إلى ذلك، كان التطبيق القطري يتضمّن ثغرة أمنية يمكن أن تكشف تلك المعلومات الحسّاسة لأطراف ثالثة.
أمّا تطبيق “معاً” الطوعي، فهو بخلاف التطبيقات البحرينية والكويتية والقطرية المثيرة للجدل والتي تعتمد على موقع المستخدِمين لتتبّع أثر المخالطين، يستخدِم تقنية البلوتوث لتتبّع أثر المستخدَمين. لا يطلب التطبيق اللبناني على أجهزة “آيفون” إذناً إلّا لاستخدام البلوتوث، بما في ذلك إذن إدارة البلوتوث، وإرسال التنبيهات. أمّا على أجهزة “أندرويد”، فيطلب التطبيق بيانات تحديد الموقع الجغرافي للجهاز. وبحسب سياسة الخصوصيّة التي تنشرها وزارة الصحّة العامّة حول التطبيق، من الضروري أن يحصل التطبيق على بيانات تحديد الموقع لكي يعمل على النسخ القديمة من نظام “أندرويد”، إلا أنّ هذه البيانات لا تُحمَّل على خوادِم “معاً”.
مخاوف أمنية
يبادر تطبيق “معاً”، الذي طوّرته شركة تطبيقات الهواتف المحمولة المحلّية “تيد موب” (TEDMOB)، إلى اتّخاذ إجراءات لحماية خصوصية المستخدِمين، إلّا أنّه يعاني من بعض الثغرات الأمنية الأساسية، ما يتركه عرضة لاستغلال أطراف ثالثة.
أجرى فريق الأمن الرقمي لدينا تحليلاً ساكناً للتطبيق فتبيّن أنّه يفتقر للتشفير وقد يترك المستخدمين الذين لديهم أجهزة “أندرويد” غير حديثة عرضة لهجمات دون انتظار (0day). وجدنا كذلك، الكثير من الملفّات في التطبيق محدّدة بتعليمات برمجية ثابتة (hardcoded)، ما يعني أنّ معلومات حسّاسة، مثل اسم المستخدِم وكلمة السر الخاصة بمدير النظام، قد تكون مُتاحة لجهات قد تستغلّها لغايات خبيثة. وكذلك الحال بالنسبة إلى قاعدة بيانات لغة الاستعلامات البنيوية (SQL) الخاصة بالتطبيق، التي تنفّذ استعلامات SQL أوّلية، فقد وجدنا أنّها عرضة لهجمات حقن لغة الاستعلامات البنيوية (SQL injection attack)، أو لهجمات قد تسمح لأطراف ثالثة خبيثة بالوصول إلى معلومات حسّاسة تابعة للمستخدِمين ولمديري النظام.
في النتيجة، للحد من هجمات حقن لغة الاستعلامات البنيوية، ينبغي اعتماد تقنيات أكثر أماناً للتحقّق من البيانات المُدخَلة واستخدام تقنية التوقيع الثنائي.
فضلًا عن ذلك، فإنّ توقيع V1 الخاص بالتطبيق غير قادر على حمايته من أحد أنواع الهجمات دون انتظار الذي يُعرَف باسم “جانوس” (Janus)، ما قد يضرّ بمستخدِمي أنظمة “أندرويد” من 5.0 إلى 8.0. يعمل التطبيق على نسخ أقدم من نظام “أندرويد” بهدف الوصول إلى أكبر عدد ممكن من المستخدِمين، إلا أنّ هؤلاء المستخدِمين معرّضون لثغرات قد تتيح لأطراف ثالثة إرسال محتوى خبيث وبيانات زائفة إلى جهاز المستخدِم. وقد يمكّن هذا المحتوى الخبيث المهاجمين من الوصول إلى بيانات أخرى على هاتف المستخدِمين أو تحميل بيانات أو إعادة تشكيلها.
سنواصل تحليل التطبيق وتنبيه المستخدِمين في حال رصدنا أيّ تغييرات في سياسة الخصوصية الحالية.
توصيات
أرسلنا لائحة بالتوصيات الأمنية إلى وزارة الصحّة العامّة.
نقترح على مستخدِمي نسخ نظام “أندرويد” من 5.0 إلى 8.0 بتجنّب استخدام التطبيق في حال لم يكن الجهاز يحتوي على التحديث الأمني لنظام “أندرويد” الذي أُطلِق في كانون الأول/ديسمبر 2017. يمكنكم/ن الاطّلاع على كيفية التحقّق من التحديث الأجدد على جهازكم/ن عبر هذا الرابط.
