واحد من كل ثلاثة تطبيقات Android وأكثر من نصف تطبيقات iOS تقوم بتسريب بيانات يمكن استغلالها من قبل المهاجمين، حسبما كشف عنه تقرير Zimperium Global Mobile Threat Report 2025. وأوضح التقرير أن ما يقرب من نصف التطبيقات ما زالت تحتوي على مفاتيح وأسرار رقمية مدمجة مباشرة في أكوادها، مثل API keys، متيحة بذلك للمهاجمين إعادة هندسة التطبيق وإساءة استخدامه بمجرد طرحه.
التطبيقات كمساحة متنامية للهجوم
أظهر التقرير أن الثغرات في جانب العميل تفتح طرقاً جديدة للاستغلال، حيث يمكن للمهاجمين التلاعب بالتطبيقات، واعتراض حركة البيانات، واستغلال الأجهزة المخترقة لتجاوز الدفاعات. ومن بين النتائج الرئيسية:
- جهاز Android واحد من كل 400 جهاز مكسورصلاحيات الجذر (Rooted) وجهاز iOS واحد من كل 2500 جهاز مكسور الحماية (Jailbroken).
- ثلاثة أجهزة من كل 1000 جهاز محمول سبق اختراقها.
- جهاز Android واحد من كل خمسة يتعرض لبرمجيات خبيثة في الواقع العملي.
- ما يقارب ثلث تطبيقات Android المالية وخمس تطبيقات iOS الخاصة بالسفر معرضة لهجمات الرجل في الوسط (Man-in-the-Middle) رغم استخدام تعزيز أمان الاتصالات المشفرة (SSL Pinning).
شدد التقرير على أن التطبيقات لا تستهلك واجهات البرمجة فقط، بل تكشفها أيضاً، حيث يمكن للمهاجمين رسم خريطة سلوكها والتلاعب به عبر تعديل الشيفرة، أو استخراج الرموز والأسرار من خلال الهندسة العكسية، أو استغلال تحكم الجهاز لمحاكاة الاستخدام الشرعي.
الدفاعات المحيطية لم تعد كافية
أوضح الخبراء أن أدوات الحماية التقليدية مثل الجدران النارية، وAPI gateways، وWeb Application Firewalls قادرة على حجب بعض التهديدات، لكنها غير قادرة على التحقق ما إذا كان الطلب قادماً من تطبيق أصلي أو نسخة معدلة. يسمح هذا الخلل للمهاجمين بانتحال الهوية والموقع والمعرفات الخاصة بالجهاز، مما يجعل الاستدعاءات الضارة تبدو شرعية.
حيال ذلك، قال رانولد بار، مسؤول الأمن السيبراني في Cequence Security، إن الحماية يجب أن تبدأ من الجهاز نفسه، مشيراً إلى أن الحد الأدنى يتطلب تفعيل قفل الشاشة، وتطبيق التحديثات بشكل منتظم، والتأكد من أن الأجهزة غير مخترقة أو مكسورة الحماية.
سد الثغرات داخل التطبيقات
أكد تقرير Zimperium أن حماية واجهات البرمجة يجب أن تبدأ من داخل التطبيق نفسه، عبر نهجين أساسيين:
- تقوية واجهات البرمجة من خلال إخفاء الشيفرة، والتخزين الآمن، وآليات دفاع أثناء التشغيل.
- إثبات صحة التطبيق عبر التحقق من أن كل استدعاء للواجهة صادر من تطبيق أصلي غير معدل ويعمل في بيئة موثوقة.
من جانبها، أوضح فيشرَت إينغار، مدير الحلول في Black Duck، أن العديد من تطبيقات المؤسسات تفتقر إلى أساسيات الحماية مثل إخفاء الشيفرة والتخزين الآمن وتحديث المكتبات الخارجية، ما يتركها عرضة للاستغلال حتى في البيئات المُدارة. وأضاف ديفيد ماتالون، الرئيس التنفيذي لشركة Venn، أن الحماية لم تعد تتمحور حول الجهاز، إنما حول بيئة العمل نفسها، في ظل واقع انتشار نماذج Bring-Your-Own-Device لدى العاملين عن بعد.
