أخبار

تطبيقات تشفير وهمية تستخدم تقنية “التحقق بخطوتين الالتفافية” لتجاوز سياسة أذونات جوجل

كتشف باحثو  «إسيت»  ESET تطبيقات تشفير وهمية “cryptocurrency” تستخدم تقنية لم يسبق لها مثيل لتجاوز عمليات “التحقق بخطوتين” (2FA) القائمة على الرسائل النصية القصيرة SMS ، وللالتفاف حول قيود أذونات الرسائل النصية القصيرة من جوجل. ولقد قيدت جوجل استخدام أذونات الرسائل النصية القصيرة وسجل المكالمات في تطبيقات أندرويد في مارس 2019 لمنع التطبيقات المتطفلة من إساءة استخدامها لأغراض غير مشروعة.

والتطبيقات “BTCTurk Pro Beta” و”BtcTurk Pro Beta” و”BTCTURK PRO” تنتحل صفة تبادل العملة المشفرة cryptocurrency التركية BtcTurk وتقوم بعملية الخداع بهدف الحصول على بيانات اعتماد تسجيل الدخول إلى الخدمة. بدلاً من اعتراض الرسائل النصية القصيرة لتجاوز عملية الحماية من  2FA على حسابات المستخدمين ومعاملاتهم، تأخذ هذه التطبيقات الضارة “كلمة المرور المرة واحدة” (OTP) من الإشعارات التي تظهر على شاشة الجهاز المخترق. بالإضافة إلى قراءة إخطارات 2FA، وللتطبيقات  القدرة أيضًا على منع تنبيه الضحايا من ملاحظة حدوث العمليات احتيالية. وتم تحميل جميع التطبيقات الثلاثة إلى جوجل بلاي في يونيو 2019 وتم إيقافها بسرعة بعد تنبيه شركة «إسيت».

بعد تثبيت وإطلاق تطبيقات BtcTurk المزيفة، يطلبون إذنًا تحت مسمى “وصول الإشعار”. يمكن للتطبيقات بعد ذلك قراءة الإشعارات المعروضة بواسطة التطبيقات الأخرى المثبتة على الجهاز أو رفض هذه الإشعارات أو النقر فوق الأزرار التي تحتويها. ووفقًا لتحليل «إسيت»، يستهدف المهاجمون من وراء هذه التطبيقات تحديدًا إشعارات الرسائل النصية القصيرة وتطبيقات البريد الإلكتروني.

وصرح مؤلف البحث “لوكاس ستيفانكو”، و الباحث لدى شركة «إسيت»، وقال: “أحد الآثار الإيجابية لقيود جوجل التي تمت من شهر مارس 2019 هو أن تطبيقات سرقة بيانات الاعتماد قد فقدت خيار إساءة استخدام هذه الأذونات لتجاوز آليات 2FA المستندة إلى الرسائل النصية القصيرة. وبالرغم من اكتشاف هذه التطبيقات المزيفة، إلا أننا نشاهد الآن أول برامج ضارة تتجنب تقييد أذونات الرسائل القصيرة “.

تم تقديم إذن “وصول الإشعار” في إصدار أندرويد Jelly Bean 4.3، مما يعني أن جميع أجهزة أندرويد النشطة تقريبًا عرضة لهذه التقنية الإحتيالية الجديدة. تتطلب تطبيقات BtcTurk المزيفة إصدار أندرويد (Android 5.0 KitKat) فيما فوق للتشغيل؛ وبالتالي  فهي تؤثر على حوالي 90 ٪ من أجهزة أندرويد.

وبالنسبة لمدى فعالية “التحقق بخطوتين الالتفافية”، فهذه التقنية الخاصة لها حدودها – يمكن للمهاجمين فقط الوصول إلى النص الذي يلائم حقل النص الخاص بالإشعار، وبالتالي فإنه لا يضمن أن النص سيشمل كلمة المرور المرة واحدة OTP. وفي “التحقق بخطوتين” (2FA) القائمة على الرسائل النصية القصيرة، تكون الرسائل قصيرة عمومًا، ومن المحتمل أن يتم احتواء OTP في رسالة الإشعار. ورغم ذلك، في عمليات 2FA للبريد الإلكتروني يكون طول الرسالة وشكلها أكثر تنوعًا، مما قد يؤثر على البيانات التي يمكن الوصول إليها.