يجب عليك التوقف عن حفظ الصور من iMessage و WhatsApp و Android Messages

إذا كنت سأرسل لك ملف مرفق في رسالة نصية - دعنا نقول مستند Word أو PDF ، نأمل أن تتم برمجتك لطرح مجموعة كاملة من الأسئلة قبل فتح هذا المرفق أو حفظه بهاتفك. هل اعرف المرسل؟ هل كنت أتوقع الملف؟ ولكن ماذا لو كانت مجرد صورة - شيء ممتع أو ملفت للانتباه للاحتفاظ به أو مشاركته؟ يمكنك عرض الصورة داخل تطبيق المراسلة ، يمكنك رؤية ما تحصل عليه ، بالتأكيد لا ضرر في حفظها في ألبوم الصور الخاص بك؟

إذا كان هذا هو الحال فقط. الحقيقة هي أن الصورة الضارة لها نفس القدرة على إتلاف جهازك وسرقة بياناتك كمرفق ضار. الاختلاف الوحيد هو أنه هجوم أكثر تعقيدًا ، مما يجعله أكثر ندرة. لقد رأينا أحدث مثال على مثل هذا التهديد تمامًا هذا الأسبوع ، مع تأكيد Facebook أنه قام بتصحيح ثغرة أمنية في Instagram كشف عنها باحثو Check Point ، والتي تنطوي على صورة مصطنعة يمكن أن تختطف حسابًا بالكامل ، وربما حتى على أذونات Instagram لاتخاذ -على هاتف ذكي.

عارض Facebook ادعاء Check Point بأن الصورة الخبيثة التي تحطمت Instagram يمكن استخدامها للسيطرة على الهاتف الذكي نفسه ، والوصول إلى الكاميرا والميكروفون. أخبرني Facebook أن أسوأ الحالات ستكون سرقة الحساب ، والذي يبدو سيئًا بدرجة كافية في حد ذاته. وبينما زعمت Check Point أن مجرد حفظ صورة على الهاتف سيؤدي إلى الهجوم ، قال Facebook إن المستخدم سيحتاج إلى تحميل الصورة على Instagram. مرة أخرى ، تم قبول حقيقة أن الصورة قد تم تصنيعها كأداة هجوم. وهذه هي النقطة هنا.

كان هجوم نقطة الوصول من Check Point هو إرسال صورة إلى الضحية عبر منصة شائعة - iMessage أو Android Messages أو WhatsApp ، وسيغري محتوى الصورة الضحية لحفظ الصورة على أجهزتهم. يتم القيام بذلك بسهولة — معظمنا يفعل ذلك طوال الوقت ، حتى لو لمجرد مشاركة الصورة على نظام أساسي مختلف ، بدلاً من إعادة توجيه الرسالة التي تلقيناها.

أخبرني إكرام أحمد من Check Point أن هذا يجب أن يكون بمثابة تحذير. قال لي: "فكر مرتين قبل حفظ الصور على جهازك ، حيث يمكن أن تكون حصان طروادة للمتسللين لاقتحام هاتفك. لقد أظهرنا ذلك باستخدام Instagram ، ولكن من المحتمل العثور على الثغرة الأمنية في تطبيقات أخرى ". يكاد يكون هذا هو الحال بالتأكيد - كانت المشكلة مع نشر إمكانية تحليل الصور مفتوحة المصدر المدفونة داخل تطبيق Instagram. ومكتبة برامج الطرف الثالث مثبتة على نطاق واسع في عدد لا يحصى من التطبيقات الأخرى.

أخبرتني شركة Sonatype ، المتخصصة في مساعدة المطورين على استخدام مكتبات البرامج مفتوحة المصدر هذه بأمان ، أن مثل هذه المكونات "تشكل 90٪ من أي تطبيق حديث ، وليست جميع المكونات متشابهة ... بينما كشفت Check Point عن ذلك أصدر Facebook تصحيحًا ، قد يكون هناك الآلاف من الشركات الأخرى التي تستخدم إصدارًا ضعيفًا من [هذا] المكون. الآن بدأ السباق. "

إذا تلقيت صورة ضارة في أحد تطبيقات المراسلة أو الوسائط الاجتماعية الخاصة بك ، فمن المؤكد أن عرضها داخل التطبيقات أمر جيد. تأتي المشكلة عندما تقوم بحفظ ذلك في الألبوم على وحدة تخزين هاتفك الداخلية أو قرص خارجي. رأينا هذا في العام الماضي، مع ال WhatsApp وبرقية تتعرض إلى الضعف الروبوت حيث تم حفظ الصور إلى قرص خارجي. ومع ذلك ، في وقت سابق من هذا العام ، حذر فريق Project Zero التابع لشركة Google من أن معالجة الصور بواسطة برامج المراسلة بأنفسهم على نظام iOS يمكن هزيمتها عند التعامل مع نوع ملف غير عادي.

ولكن يمكن إصلاح المشكلات المتعلقة بالتطبيقات السائدة - وإذا التزمت بالمراسلة واسعة النطاق وتطبيقات الوسائط الاجتماعية ، فسوف تعالج أي ثغرات في التعامل مع الصور بمجرد الكشف عنها. ببساطة ، هذه المشاكل تتعلق بالتطبيقات وليس الصور ، فأنت تثق في أن التطبيق يمكنه التعامل بأمان مع أي محتوى يعرضه. بمجرد نقل صورة من خارج وضع الحماية هذا ، إذا جاز التعبير ، إلى جهازك الخاص ، تتغير المخاطر. لكن ما لن تفعله التطبيقات هو إرسال صور نظيفة عبر تطبيقاتها لإزالة التهديدات إذا قمت بحفظ هذه الصور على جهازك الخاص. تزيل تطبيقات الوسائط الاجتماعية البيانات الوصفية ، مثل الموقع الذي تم التقاط الصورة فيه ، وتضغط حجم الصورة. لكنهم لا يفحصون التهديدات المصممة في بنية الصورة نفسها. لا تقوم تطبيقات رسائل SMS بضغط البيانات الوصفية أو إزالتها افتراضيًا.

تم تسليط الضوء على السهولة التي يمكن من خلالها انتشار الثغرة الأمنية في مايو ، عندما أدت صورة مشتركة على وسائل التواصل الاجتماعي إلى اختراق بعض أجهزة Android إذا تم تعيينها كخلفية للشاشة الرئيسية. كانت المشكلة في طريقة تعامل الصورة مع ألوانها وتفاعلها مع الكود ذي الصلة على جهاز Android. مرة أخرى ، لا توجد طريقة يتم بها فحص مثل هذه المشكلات عن طريق تطبيقات المراسلة أو الوسائط الاجتماعية المستخدمة لمشاركة هذه التهديدات بشكل فيروسي. لم يكن هناك نية خبيثة مع تلك الصورة بالذات - لكنها تخبرك بمدى قوة الصورة المصممة. قال يانيف بالماس ، رئيس قسم الأبحاث السيبرانية في Check Point ، "عادة ما يتم تنفيذ هذه الأنواع من الهجمات من قبل جهات فاعلة تابعة للدولة أو ما يعادلها".

التهديدات الإلكترونية المصطنعة ليست هي المخاطر الوحيدة التي تحملها الصور العديدة التي نتلقاها الآن ثم نشاركها. إذا أردنا أن نعرض أنفسنا أو الآخرين للخطر من خلال المحتوى المرسل من هواتفنا أو إليها ، فمن المحتمل أن تكون الصور ومقاطع الفيديو التي نلتقطها ونشاركها. وبالتالي فإن الخطوة الأخيرة التي اتخذها WhatsApp - وهي قيد التطوير الآن ، لتمكين المستخدمين من إخفاء مرفقات الوسائط بمجرد عرضها ، مرحب بها للغاية. يمكن القيام بذلك في تطبيقات الوسائط مثل Snapchat و Instagram ، ويجب أن يصبح توفير نفس الشيء داخل برنامج المراسلة السائد هو القاعدة.

إذن ، ما هي النصيحة للبقاء في أمان؟ إنها بسيطة بشكل ملحوظ. إذا كنت تعرف الشخص والكاميرا - مما يعني أنه يمكنك إخبارهم بأنهم التقطوا الصور المرسلة بهاتفهم ، فلا بأس في حفظ كل ما يرسلونه. يمكنك القيام بذلك عبر المشاركة اللاسلكية ، مثل AirDrop من Apple ، أو عن طريق iMessage أو Android Messages للحصول على إصدارات كاملة الدقة مع البيانات الوصفية سليمة. يمكنك أيضًا استخدام WhatsApp أو برامج المراسلة "over-the top" الأخرى ، ولكن من المحتمل أن يضغط هؤلاء على حجم الصور ويجردون بيانات الموقع من الملفات .

إذا كنت لا تعرف المرسل جيدًا ، أو إذا كانت الصورة قد تمت إعادة توجيهها من مكان آخر أو تم سحبها من الإنترنت أو وسائل التواصل الاجتماعي ، فلا تقم بحفظها على جهازك. قد تبدو كصورة بسيطة ، لكنها في النهاية ملف بيانات لا يمكنك تصديقه. وبالمثل ، إذا تلقيت صورًا عبر رسائل وسائل التواصل الاجتماعي أو في خلاصتك ليست صورًا التقطها شخص تعرفه ، فاتركها في مكانها.

للسبب نفسه تمامًا ، يجب ألا تقوم بتعيين الأذونات في أي من وسائل التواصل الاجتماعي أو تطبيقات المراسلة لحفظ الصور ومقاطع الفيديو تلقائيًا على هاتفك. كما حذر جيك مور ، خبير الإنترنت في ESET ، "مجرد إرسال ملف يحفظ تلقائيًا الأصوات الخطرة بأي وسيلة ، ولكنه يميل إلى أن يكون هو القاعدة لكثير من الناس. يمكن أن يتم حفظ الصور بأثر رجعي ، مما يجعل الأمر أكثر منطقية بكثير من ناحية الأمان - عندئذٍ يمكنك الاختيار عندما تعلم أن الصور في مأمن من المرسلين المعروفين وعندما تعرف ذلك.

وهذه هي الوجبات الجاهزة الرئيسية هنا - المرسلون الآمنون . لكنك تحتاج أيضًا إلى إضافة محتوى آمن لذلك. أقوى الأسلحة السيبرانية هي تلك التي تختبئ على مرأى من الجميع. لهذا السبب يركز ممثلو التهديدات الخطيرة على التطبيقات السائدة التي يعرفون أنها ستوجد على جميع الأجهزة المستهدفة تقريبًا. هذا هو السبب في أن التصيد المستهدف بالرمح المغلف في الهندسة الاجتماعية فعال للغاية. وهذا هو السبب في أن الصورة ، التي تهدئ الضحية للاعتقاد بأنه يمكنها رؤية المحتوى وبالتالي يمكنها رفض المخاوف التي قد يكون هناك تهديد ، هي شيء تحتاج إلى حماية نفسك منه.