تكنولوجيا وأمن معلومات
تهديدات الـ Sensor - based attacks في الهاتف الذكي
علي السيد
أدت الشعبية المتزايدة لاستخدام الأجهزة الذكية، وخاصة الهواتف، إلى جعلها مركز اهتمام بين المهاجمين. إذ توجد بالفعل عدة أنواع من الأنشطة الضارة التي تحاول تعريض أمان الهواتف الذكية وخصوصيتها للخطر.
إحدى مسببات التهديد الناشئة المثيرة للاهتمام والجديرة بالملاحظة هي الهجمات التي تستغل أجهزة الاستشعار Sensors على الهواتف الذكية. هذه الهواتف معرّضة للتهديدات والهجمات القائمة على أجهزة الاستشعار بسبب عدم وجود آليات أمنية مناسبة متاحة للتحكّم في استخدام هذه الأجهزة من خلال التطبيقات المثبتة. ومن خلال استغلال تنوعها - مثل مقياس التسارع والجيروسكوب والميكروفون ومستشعر الضوء وما إلى ذلك- يمكن للمهاجمين استخراج المعلومات من الهاتف، أو نقل البرامج الضارة إليه، أو تشغيل عملية ضارة لاختراقه.
يمكن للمهاجمين استخدام أجهزة الاستشعار الموجودة في الهاتف الذكي كمنصة هجوم للتأثير في استخدام الوظائف العادية للهواتف المتصلة أو مقاطعتها. وتشكّل هذه التهديدات القائمة على أجهزة الاستشعار خطرًا كبيرًا على الهواتف الذكية؛ حيث إن الشركات المصنّعة ليست على علم تام بها حتّى الآن. ففي السنوات الأخيرة، نُشرت العديد من الدراسات الاستقصائية والبرامج التعليمية التي تغطي مختلف التهديدات وآليات الدفاع في الهواتف الذكية. ومقالنا اليوم يتناول أجهزة الاستشعار Sensors الأكثر شيوعًا في الهاتف الذكي وعمل كلّ واحد منها، ثمّ ننتقل إلى التهديدات التي قد تتعرض لها؛ ما يشكّل خطرًا على أمن المعلومات الموجودة على الهاتف أو خطرًا على قدرته في تأدية الوظائف الطبيعية المصرح عنها واستبدالها بوظائف خطرة تنسجم مع الأنشطة الخبيثة؛ مثل التجسس والجرائم الإلكترونية وغيرها، وختامًا نتناول بعض الإرشادات الوقائية.
أنواع أجهزة الاستشعار في الهاتف الذكي
يحتوي الهاتف الذكي على ثلاثة أنواع من أجهزة الاستشعار، كلّ نوع ينضوي تحته مجموعة من الحساسات التي تؤدي وظائف متشابهة:
• أجهزة استشعار الحركة: هي تقوم بقياس التغير في الحركة، وكذلك اتّجاه الأجهزة. وهناك نوعان من الحركات التي يمكن ملاحظتها في الجهاز: الحركات الخطية والزاوية. تشير الحركة الخطية إلى الإزاحة الخطية للجهاز الذكي، بينما تشير الحركة الزاوية إلى الإزاحة الدورانية للجهاز (Accelerometer, Linear acceleration, Gyroscope).
• أجهزة الاستشعار البيئية: مثل الضوء والضغط وغيرها؛ وهي تُستخدم لاستشعار التغيّر في المؤشرات البيئية في محيط الجهاز. والغرض الأساسي من استخدام هذه الأجهزة هو مساعدة الأجهزة على اتّخاذ قرارات مستقلة وفقًا للتغيرات في الأجهزة الطرفية للجهاز. على سبيل المثال، تُستخدم أجهزة استشعار البيئة في العديد من التطبيقات لتحسين تجربة المستخدم (Light, Proximity, Temperature, audio, camera, Barometer, Heart Rate, Fingerprint).
• مستشعرات الموقع: وهي تتعامل مع الموضع الفعلي للجهاز وموقعه. وأجهزة استشعار الموقع هي المستخدمة الأكثر شيوعًا في الأجهزة الذكية، وهي أجهزة الاستشعار المغناطيسية ونظام تحديد المواقع العالمي (GPS). عادةً ما تُستخدم المستشعرات المغناطيسية كبوصلة رقمية وتساعد في تحديد اتّجاه شاشة الجهاز. ومن ناحية أخرى، يُستخدم نظام تحديد المواقع العالمي (GPS) لأغراض الملاحة (GPS, Magnetic).
العيوب الموجودة في أنظمة الاستشعار في الهواتف الذكية
على الرغم من أن أنظمة إدارة أجهزة الاستشعار الحالية، في الأجهزة الذكية، تؤكد ضرورة العمل على تأمين المستشعرات لعدم جعلها عرضةً لعمليات الاستغلال الخبيث من المقرصنين، إلا أن هناك العديد من العيوب التي يمكن استغلالها بسهولة من خلال التهديدات القائمة على أجهزة الاستشعار:
• إن السماح للتطبيقات باستخدام أجهزة الاستشعار يعتمد على موافقة المستخدمين من دون التوضيح لهم لماذا يحتاج التطبيق إلى الوصول إلى هذه المُستشعرات. يمكن لهذا أن يؤدي إلى إعطاء التطبيقات صلاحيات غير مبررة واستغلال المُستشعرات بأغراض غير مشروعة.
• إن بعض أجهزة الاستشعار، مثل الميكروفون والكاميرا، تُقيّد بتصاريح خاصة، في حين يمكن للتطبيقات الأخرى الوصول إلى المُستشعرات الأخرى مثل الحركة والضوء من دون تصاريح محدّدة.
• يمكن التقاط معلومات من المُستشعرات من دون علم المستخدم أو تدخّله، وهذا يمكن أن يتيح للمهاجمين الحصول على معلومات حساسة بطريقة غير مشروعة.
• إن بعض الأجهزة الذكية يمكنها الاتّصال ببعضها البعض والوصول إلى البيانات من دون الحاجة إلى تصاريح خاصة، ما يمكّن المهاجمين من التسلل وحقن البيانات بطريقة غير مشروعة.
• يمكن للمهاجمين التلاعب بالبيئة المحيطة بالأجهزة لتغيير بيانات المُستشعرات بشكل غير مشروع، ما يمكن أن يؤدي إلى إحداث أنشطة غير مرغوب فيها أو تشويش على عمل الأجهزة.
أنواع التهديدات على أجهزة الاستشعار Sensors:
استنادًا إلى طبيعة التهديدات، يمكن تصنيف التهديدات القائمة على أجهزة الاستشعار إلى فئتين:
• تهديدات تشمل أنشطة ضارة تستخدم المُستشعرات من دون إعاقة التشغيل العادي للجهاز الذكي، مثل التجسس على سلوك المستخدم.
• تهديدات تعيق عمل الجهاز الذكي لتنفيذ أنشطة ضارة، مثل انتحال قراءة المستشعر أو التشويش على إشاراته.
وعي المستخدم مطلوب:
المستخدمون النهائيون هم الضحايا الرئيسون للتهديدات والهجمات المستندة إلى أجهزة الاستشعار. يستهدف المهاجمون عادة المستخدمين النهائيين ذوي المعرفة التقنية الأقل، حيث يهدفون إلى تنفيذ أنشطة ضارة مثل تسرّب المعلومات واستغلال المهام. يجب على المستخدمين النهائيين فهم العواقب المحتملة لهذه التهديدات والهجمات واتّخاذ الاحتياطات اللازمة قبل استخدام أي تطبيقات محتملة الخطر. يمكن لهم أيضًا اتباع ممارسات الأمان الجيدة، وفي ما يلي بعد الإرشادات التي من المفيد الاعتماد عليها عند امتلاك هاتف ذكي في مواجهة تهديدات أجهزة الاستشعار Sensors:
• تحديد الصلاحيات بعناية: يجب على المستخدمين إعطاء الاهتمام للصلاحيات التي يطلبها التطبيق عند التثبيت أو التحديث. ينبغي على المستخدمين منح الوصول فقط إلى المستشعرات التي يحتاجها التطبيق بالفعل لعمله بشكل صحيح.
• التحقق من المصدر: ينبغي على المستخدمين التحقق من مصدر التطبيقات التي يقومون بتثبيتها على هواتفهم. تثبيت التطبيقات من متاجر رسمية وموثوقة مثل Google Play Store أو Apple App Store يقلل من احتمالية تعرض الهاتف للتهديدات.
• تحديث البرامج بانتظام: يجب على المستخدمين تحديث تطبيقاتهم وأنظمة التشغيل بانتظام لضمان حصولهم على أحدث التصحيحات الأمنية والتحسينات.
• استخدام برامج مكافحة الفيروسات والأمان: يمكن لبرامج مكافحة الفيروسات والأمان أن تساعد في اكتشاف ومنع الهجمات الضارة المتعلّقة بالمُستشعرات. قم بتثبيت برنامج مكافحة الفيروسات الموثوق به، وقم بتحديثه بانتظام.
• إلغاء الوصول للتطبيقات غير المستخدمة: ينبغي على المستخدمين إلغاء الوصول للتطبيقات التي لم يعودوا بحاجة إليها لتقليل فرص استخدامها للوصول غير المشروع إلى المستشعرات.
• التحقق من الإعدادات الخاصة بالخصوصية: ينبغي على المستخدمين مراجعة وتكوين إعدادات الخصوصية في هواتفهم؛ حيث يمكنهم التحكم في الوصول إلى المستشعرات بواسطة التطبيقات.
المراجع:
A. K. Sikder, G. Petracca, H. Aksu, T. Jaeger and A. S. Uluagac, "A Survey on Sensor-Based Threats and Attacks to Smart Devices and Applications," in IEEE Communications Surveys & Tutorials, vol. 23, no. 2, pp. 1125-1159, Secondquarter 2021, doi: 10.1109/COMST.2021.3064507.
C. Perera, P. Jayaraman, A. Zaslavsky, P. Christen, and D. Georgakopoulos,“Dynamic configuration of sensors using mobile sensor hub in internet of things paradigm,” in IEEE Eighth InternationaConference on Intelligent Sensors, Sensor Networks and Information Processing, 2013, pp. 473–478.
S. Biedermann, S. Katzenbeisser, and J. Szefer, “Hard drive sidechannel attacks using smartphone magnetic field sensors,” in International Conference on Financial Cryptography and Data Security, 2015, pp. 489–496.
N. Matyunin, Y. Wang, T. Arul, K. Kullmann, J. Szefer, and S. Katzenbeisser, “Magneticspy: Exploiting magnetometer in mobile devices for website and application fingerprinting,” in Proceedings of the 18th ACM Workshop on Privacy in the Electronic Society, 2019, pp. 135– 149.