باحث أمني يكشف خدعة تمكّن المهاجمين من رفع برمجيّات تجسس على خوادم Fitbit ونشرها على أنّها تطبيقات شرعيّة

كشف الباحث الأمني Kev Breen خلل أمني في متجر تطبيقات شركة فت بت Fitbit المعروفة بإنتاجها للساعات الذكية، حيث تمكّن الباحث من رفع تطبيق يحتوي على برمجيّة تجسّس Spyware والحصول على رابط يمكنه مشاركته مع المستخدمين وخداعهم  لتنصيبه على أجهزتهم كأنه تطبيق شرعي.

كيف يتم استغلال الخلل الأمني؟

يستطيع القراصنة تصميم تطبيق يقوم، على سبيل المثال، بتغيير شكل خلفية الساعة الإلكترونيّة ويمكن رفع هذا البرنامج على خوادم شركة Fitbit ليتم معاينته ثم نشره على المتجر الرسمي، ولكن يكمن خطأ الشركة في تقديم رابط تحميل التطبيق قبل الموافقة عليه أو نشره على المتجر. في هذه الحالة يتمكّن المهاجمين من نشر هذا الرابط بشكل خارجي وإرساله إلى المستخدمين، عندما تنقر الضحيّة على الرابط، يظهر التطبيق وكأنه تطبيق شرعي في متجر الشركة الرسمي، وعندما يتم تنصيبه على الهاتف وتوصيله بالساعة، يستطيع القيام بما يلي:

  • سرقة بيانات الموقع الجغرافي الخاصّة بالمستخدمين
  • معرفة بيانات الصحة، مثل الوزن، الطول، سرعة نبضات القلب وما شابه
  • سرقة بيانات التقويم ومواعيد المستخدمين

بعد التواصل مع الشركة وإعلامها عن المشكلة الأمنيّة، بدأت Fitbit بإرسال تحذير للمستخدمين الذين يقومون بتنصيب تطبيقات خاصّة بالساعة الذكيّة من روابط خارجيّة. كما وعدت الشركة أن تقوم – في المستقبل القريب – بتعديل أذونات الوصول الخاصّة بالتطبيقات التي تكون مفعّلة بشكل تلقائي.

كيف نحمي أنفسنا؟

ينصح بعدم تنصيب أي تطبيق يصلنا على شكل رابط حتى إذا كان يبدو شرعيّاً ومصدره متجر تطبيقات Fitbit، يمكن أن تصلكم هذه الروابط من أشخاص مجهولين أو من أشخاص موثوق بهم عن طريق البريد الإلكتروني، منصات التواصل الإجتماعي، أو حتى عند النقر على الإعلانات في المواقع الإلكترونيّة. تنصيب تطبيقات Fitbit على أجهزتنا (بهذه الطريقة) قد يشكّل خطراً على سلامتنا الرقميّة، فيستطيع أي مهاجم رفع أي تطبيق مليء بالبرمجيّات الضارّة وإرسال رابط التحميل لنا.

 

المصدر

هل كانت هذه المقالة مفيدة؟

عن عملنا

أخبار وتنبيهات رقمية

موارد المساعدة الذاتية

الدعم الرقمي

التدريب والعيادات

المساعدة الطارئة