عندما تخبر أي تطبيق قمت بتحميله من متجر “جوجل بلاي” على نظام التشغيل “أندرويد Android” بالخيار التالي: “لا، ليس لديك إذن لتتبع هاتفي”، فربما تتوقع حينها أنه لن يكون بمقدوره فعلا تتبع هاتفك.
قال الباحثون إن الآلاف من التطبيقات قد وجدت طرقًا لخداع نظام أذونات أندرويد، واستخدام التطبيق للوصول إلى معرّف جهازك الفريد، وبيانات كافية للكشف عن موقعك المحتمل أيضًا.
وحتى وان قلت “لا” لأحد التطبيقات عندما يطلب الإذن برؤية تلك التعريفات الشخصية للبيانات، فقد لا يكون ذلك كافيًا: يمكن للتطبيق الثاني ذي الأذونات التي وافقت عليها مشاركة تلك البيانات مع تطبيق آخر، أو تركها في مساحة تخزين مشتركة، حيث يمكن لتطبيق آخر – يحتمل أن يكون تطبيقًا ضارًا – قراءته.
وقد لا يبدو أن التطبيقين مرتبطان، لكن يقول الباحثون إنه نظرًا لأنهما صمما باستخدام نفس مجموعات تطوير البرامج (SDK)، فيمكنهما الوصول إلى تلك البيانات، وهناك أدلة على أن مالكي SDK يتلقونها.
وهناك إصلاحات قادمة لبعض هذه المشكلات في نظام التشغيل Android Q، وفقًا للباحثين، الذين يقولون إنهم أبلغوا “جوجل Google” عن نقاط الضعف الموجودة في متجرها شهر سبتمبر الماضي.
ومع ذلك، فقد لا يساعد ذلك العديد من هواتف أندرويد الحالية التي لا تحصل على تحديث Android Q. (اعتبارًا من شهر مايو، كان 10.4 بالمائة فقط من أجهزة أندرويد لديها أحدث إصدار من Android P مثبتًا، وما زال أكثر من 60 بالمائة يعمل على نظام Android N الذي يبلغ عمره ثلاث سنوات تقريبًا).
ويعتقد الباحثون أن جوجل يجب أن تفعل المزيد، وربما يتم طرح إصلاحات عاجلة ضمن تحديثات الأمان في الوقت الحالي، لأنه ليس من المعقول أن يحصل المستخدمون على تحديثات الأمان بمجرد شرائهم للأجهزة الجديدة، التي تحتوي على نظام التشغيل Android Q.
ورفضت جوجل التعليق على الثغرات المحددة، لكنها أكدت لـ The Verge أن Android Q سيخفي معلومات تحديد الموقع الجغرافي من تطبيقات الصور افتراضيًا، وسيطلب من تطبيقات الصور إعلام متجر جوجل بلاي بما إذا كان بإمكانه الوصول إلى البيانات الأولية للموقع.