ثغرات أمنية في تطبيق “جواكر” وخطوات لإصلاحها

تطبيق “جواكر” (Jawaker) لألعاب ورق الشدّة، الذي شهد شعبية متزايدة في الآونة الأخيرة خلال فترة انتشار فيروس كورونا (Covid-19) والإغلاق في معظم بلدان العالم، يعاني من مشاكل تتعلّق بالخصوصية وأمن المعلومات.

يتضمّن تطبيق “جواكر” ألعاب ورق مشهورة مثل “400”، و”الليخة، و”الطرنيب”. كما يوفر للمستخدمين عدداً من ميزات الدردشة داخل اللعبة، وإنشاء النوادي والانضمام إليها، وإضافة مستخدمين آخرين كأصدقاء. وفي شهر نيسان/أبريل وحده، اكتسب تطبيق “جواكر” الذي يتّخذ من الإمارات العربية المتّحدة مقرّاً له حوالي مليون مستخدم جديد على “أندرويد” (Android) و“آي أو إس” (iOS)، في حين تمّ تنزيل التطبيق حتى الآن أكثر من 7 ملايين مرّة.

ثغرات أمنية خطيرة

حلّلنا تطبيق “جواكر” ووجدنا أنّه يعاني من ثغرات تتعلّق بالخصوصية وأمن المعلومات، فهو يعتمد على ميزة “ويب فيو” WebView، وهي متصفح ويب داخل التطبيق يعرض محتوى الويب مباشرة في داخل التطبيق، ويطلب كذلك الكثير من الأذونات (permissions).

استخدام “جواكر” لخاصية “ويب فيو” يمنح المهاجمين القدرة على تفعيل تعليمات برمجية عن بُعد وتنفيذ “هجمات الوسيط” (Man-in-the-Middle Attacks) التي تسمح لهم باعتراض الاتصالات بين المستخدمين والتطبيق. على سبيل المثال، يمكن للمهاجم الذي يستخدم طريقة “هجمات الوسيط” خداع المستخدم والادّعاء بأنّه هو التطبيق بحيث يطلب من المستخدم كلمات المرور الخاصة به لتطبيقات أخرى مثل “فيسبوك” أو “جيميل”. بالإضافة إلى ذلك، يستخدم تطبيق “جواكر”، مثل الكثير من التطبيقات المجانية، ميزة “ويب فيو” لتحميل محتوى “إتش تي إم إل” (HTML) من شبكات المعلنين عن بُعد، وهذه الإعلانات معرّضة أيضاً لـ”هجمات الوسيط”.

من جهة ثانية، يتطلّب “جواكر” عدداً كبيراً من الأذونات غير الضرورية على أجهزة “أندرويد”، مثل الوصول إلى الميكروفون و”صور غوغل” وتشغيل الشاشة وغيرها. يمكن لتطبيق “جواكر” تشغيل الهاتف تلقائياً، ما يعني أنّ بإمكانه الاستمرار في الوصول إلى قدرات الهاتف، مثل التسجيلات الصوتية، حتى إذا لم يكن التطبيق مفتوحاً ولم تكن تلعب الشدّة.

بالنسبة إلى سياسة الخصوصية، ينشر “جواكر” سياسة خصوصية لا تتعدّى الأسطر، ولكنّ العثور عليها أمر شاقّ كما أنّها لا تنصّ بوضوح على حماية بيانات المستخدمين. ويمكن العثور على سياسة الخصوصية الخاصّة بتطبيق “جواكر” في صفحة “الخصوصية والبنود” التي تصل إليها عبر النقر على رابط في أسفل الموقع.

بعض التوصيات لتطبيق “جواكر”

يجب أن يقلل تطبيق “جواكر”من عدد الأذونات المطلوبة لتشغيل التطبيق، حتى لو كانت الإصدارات الجديدة من برنامج تشغيل “أندرويد” لا تشغّل الأذونات تلقائياً. فبالرغم من أنّ برنامج تشغيل “أندرويد” بدأ بمنع التطبيقات من تشغيل أذوناتها تلقائياً مع “أندرويد 9″، فإنّ 10% فقط من مستخدمي “أندرويد” في العالم يستخدمون هذا الإصدار وما بعده.

بالإضافة إلى ذلك، لحماية بيانات المستخدمين الشخصية، يجب على “جواكر” معالجة مشاكل الأمان الحالية من خلال تحديث برمجياتهم وإضافة عمليات التحقق من “جافا سكريبت”.

ينبغي لتطبيق “جواكر” كذلك أن ينشر سياسة خصوصية واضحة تحترم حقوق المستخدمين وتحدّد بوضوح البيانات التي يجمعها التطبيق، وكيف يخزّن البيانات، وسبب جمعها وتخزينها، وأن تذكر الجهات التي يمكنها الوصول إلى البيانات، والتدابير المتخذة لحماية بيانات المستخدمين.

وبالنسبة إليك كمستخدم/ة، يجب التحقّق من الأذونات التي يطلبها أيّ تطبيق ومنع الأذونات غير الضرورية. على سبيل المثال، إذا كنت لا تستخدم/ين ميزة الدردشة الصوتية، فيجب إلغاء الوصول إلى الميكروفون.

عبد الغني قطايا، مسؤول المحتوى الرقمي في منظمة “سمكس”. مدرّب آمان رقمي, وصحافي مستقل مهتم بالتكنولوجيا، والاقتصاد، وريادة الأعمال. تابعوه على “تويتر” @kataya_abd.

راغب غندور: مستشار الأمن السيبراني لشركة طيران، ولديه خلفية بحثية في إدارة المخاطر والأزمات. يركز بشكل أساسي على مخاطر الأمن السيبراني والحق في حرية التعبير والخصوصية على الإنترنت.