أظهر باحثون أن العديد من هواتف أندرويد منخفضة التكلفة تأتي محملة بتطبيقات مثبتة مسبقاً تمتلك صلاحيات عالية للوصول إلى النظام. وعلى عكس التطبيقات المتاحة عبر متجر Google Play، فإن هذه التطبيقات لا تخضع غالباً لعمليات فحص دقيقة، ما يجعلها وسيلة لنشر برمجيات خبيثة أو تنفيذ وظائف تنتهك الخصوصية.
ركزت الدراسة على سوق الهواتف الذكية في أفريقيا، حيث اختبر الباحثون ثلاث علامات تجارية تبيع أجهزة لا يتجاوز سعرها 100 دولار، تعمل جميعها بنسخة Android Go Edition. ولتنفيذ التحليل، طور الفريق أداة مؤتمتة أطلق عليها اسم PiPLAnD لاستخراج وتحليل حزم التطبيقات APK من الأجهزة الفعلية.
تسريب بيانات المستخدمين وسلوكيات مشبوهة للتطبيقات المثبتة مسبقاً
أحد أبرز الاكتشافات كان تسريب بيانات شخصية حساسة، شملت رمز الدولة MCC، وموقع المستخدم الجغرافي (خطوط الطول والعرض)، وتفاصيل الجهاز، وهوية المشترك الدولية IMSI، ورقم هوية الجهاز IMEI. وحدثت هذه التسريبات عبر وسائل مختلفة مثل تفضيلات المشاركة، وسجلات النظام، ورسائل النظام، والشبكة. وأفادت الدراسة أن نحو 9% من التطبيقات المثبتة مسبقاً، أي ما يعادل 145 تطبيقاً، كانت تسرب بيانات حساسة.
كما تبين أن بعض التطبيقات قادرة على تثبيت تطبيقات أخرى دون علم المستخدم، مستفيدة من صلاحية INSTALL_PACKAGES عبر أوامر installPackage() أو Runtime.exec(‘pm install’). في العينة التي خضعت للتحليل، أظهر 33 تطبيقاً هذا السلوك.
أما الرسائل النصية SMS فكانت هدفاً مباشراً أيضاً، إذ أتيح لـ79 تطبيقاً قراءة الرسائل أو إرسالها باستخدام أذونات مثل SEND_SMS وRECEIVE_SMS، أو حتى حذفها عبر الوصول إلى content://sms. كما تمكنت 10 تطبيقات من الوصول إلى محتوى logcat وقراءة سجلات تطبيقات أخرى عبر إذن READ_LOGS. وكشفت النتائج أن 226 تطبيقاً قادراً على تنفيذ أوامر يحتمل أن تكون خطيرة.
إعدادات أمان ضعيفة وغياب الضوابط على مكونات التطبيقات
أوضحت الدراسة أن 16% من التطبيقات المثبتة مسبقاً، أي ما يعادل 249 نسخة مختلفة، تضمنت مكونات مصدرة في ملفات manifest الخاصة بها دون أي حماية بالأذونات، ما يجعلها عرضة للاستغلال من تطبيقات أخرى للحصول على بيانات المستخدم أو التحكم في وظائف حساسة.
دلالات أوسع على أسواق الهواتف الذكية منخفضة التكلفة
أشار الباحثون إلى أن هذه النتائج لا تعني أن جميع الهواتف منخفضة التكلفة غير آمنة، لكنها تكشف الحاجة لمراجعة دقيقة للتطبيقات المثبتة مسبقاً على مثل هذه الأجهزة. فالمخاطر لا تتعلق فقط بالتطبيقات التي يختارها المستخدم من المتجر، بل تشمل البرمجيات المدمجة مع الهاتف منذ البداية، ما قد يعرض بيانات شخصية أو مهنية حساسة للخطر.
