كشف تقرير أمني صادم عن ثغرات خطيرة في آلاف تطبيقات أندرويد، تسببت في تسريب كميات هائلة من بيانات المستخدمين، إضافة إلى مفاتيح وأسرار تقنية حساسة مرتبطة ببنية "غوغل" السحابية.
وبحسب تحقيق أجرته منصة "Cybernews"، تم تحليل نحو 1.8 مليون تطبيق أندرويد متاح على متجر "غوغل بلاي" مع التركيز على التطبيقات التي تدّعي امتلاك ميزات تعتمد على الذكاء الاصطناعي.
وأسفرت النتائج عن اكتشاف إخفاقات أمنية واسعة النطاق، تتجاوز بكثير أخطاء المطورين الفردية، بحسب تقرير نشره موقع "techradar" واطلعت عليه "العربية Business".
%72 من التطبيقات تحتوي على أسرار مدمجة
وحدد الباحثون 38,630 تطبيق أندرويد يعتمد على الذكاء الاصطناعي، جرى فحص الشيفرة البرمجية الداخلية لها، ليتبين أن ما يقرب من 72% من هذه التطبيقات تحتوي على أسرار مدمجة داخل الكود البرمجي نفسه، بمتوسط 5.1 سر مسرب لكل تطبيق.
وبشكل إجمالي، جرى رصد 197.092 سراً فريداً، في مؤشر واضح على استمرار ممارسات برمجية غير آمنة رغم التحذيرات المتكررة منذ سنوات.
"غوغل كلاود" في قلب الأزمة
وأظهر التقرير أن أكثر من 81% من الأسرار المسربة مرتبطة ببنية "غوغل كلاود" وتشمل معرفات مشاريع، مفاتيح API، قواعد بيانات Firebase، ومستودعات التخزين السحابي.
كما تم رصد 26,424 نقطة وصول (Endpoints) خاصة بخدمات "غوغل" السحابية، تبيّن أن نحو ثلثيها يعود لبنية لم تعد موجودة.
إلا أن الخطر الحقيقي يكمن في البقية، إذ لا تزال 8,545 حاوية تخزين سحابي قائمة وتتطلب مصادقة، في حين كانت مئات الحاويات الأخرى مضبوطة بشكل خاطئ ومتاحة للعامة.
730 تيرابايت من البيانات المكشوفة
وأشار التقرير إلى أن سوء الإعداد هذا قد يكون أدى إلى تعريض أكثر من 200 مليون ملف للخطر، بإجمالي بيانات يُقدّر بنحو 730 تيرابايت من معلومات المستخدمين.
كما كشف الباحثون عن 285 قاعدة بيانات "Firebase" بلا أية ضوابط مصادقة، ما أدى إلى تسريب ما لا يقل عن 1.1 غيغابايت من البيانات.
وفي 42% من قواعد البيانات المكشوفة، وُجدت جداول تحمل تسمية "Proof of Concept"، ما يشير إلى تعرضها للاختراق سابقاً، فيما احتوت قواعد أخرى على حسابات إدارية بعناوين بريد إلكتروني ذات طابع هجومي، في دليل على أن الاستغلال لم يكن نظرياً بل حدث فعلياً.
اختراقات مستمرة دون معالجة
الأخطر، بحسب التقرير، أن العديد من هذه القواعد ظلت مكشوفة حتى بعد ظهور مؤشرات واضحة على الاختراق، ما يعكس ضعف المراقبة الأمنية وليس مجرد خطأ عابر.
ورغم القلق المتزايد حول الذكاء الاصطناعي، أشار التقرير إلى أن تسريب مفاتيح نماذج اللغة الكبيرة (LLMs) كان محدوداً نسبياً، إذ تم رصد عدد قليل فقط من المفاتيح المرتبطة بخدمات مثل "OpenAI" و"Gemini و"Claude".
وعادةً ما تسمح هذه المفاتيح بإرسال طلبات جديدة فقط، دون الوصول إلى المحادثات أو السجلات السابقة.
مفاتيح دفع وتحكم كامل
لكن بعض أخطر الثغرات، بحسب الباحثين، شملت تسريب مفاتيح Stripe السرية، القادرة على منح سيطرة كاملة على أنظمة الدفع، إضافة إلى بيانات دخول لمنصات الاتصالات والتحليلات وخدمات إدارة العملاء، ما يفتح الباب أمام انتحال التطبيقات أو استخراج البيانات دون إذن.
وأكد التقرير أن مثل هذه الإخفاقات لا يمكن معالجتها بأدوات بسيطة كالجدران النارية أو برامج مكافحة البرمجيات الخبيثة بعد حدوث التسريب.
فشل الفحص المسبق للتطبيقات
ويخلص التحقيق إلى أن الحجم الهائل للبيانات المكشوفة، وعدد التطبيقات التي تعرضت للاختراق بالفعل، يثير تساؤلات جدية حول فعالية آليات فحص التطبيقات في متاجر التطبيقات، ويشير إلى أن الاعتماد على المراجعة المسبقة وحدها لم يعد كافياً للحد من المخاطر الأمنية المتزايدة.
