كتب_ محمد محمود
تمكنت مجموعة من تطبيقات الهواتف الذكية من خداع مستخدمي هواتف آيفون وسرقة أموالهم عبر خدعة ماكرة تقنعهم بأن يقوموا باستخدام بصمات أصابعهم خلال تفاعلهم مع التطبيقات، بحيث أنها تتلاعب بإعدادات الهواتف لتشتت المستخدم وتتسبب في أن يقوم بتأكيد عملية الدفع مقابل خدمة دون أن يلاحظ ذلك.
وتتعلق تلك التطبيقات بخدمات طبية مثل تتبع وقياس السعرات الحرارية وقياس معدل نبض القلب، بحيث أن المستخدم عندما يقوم بفتح أحد تلك التطبيقات للحصول على إحصائياتها، في هذا اللحظة تقوم التطبيقات بإظهار رسالة تظهر للمستخدم أنه قام بتأكيد موافقته على دفع مبلغ مالي محدد يتراوح بين 90 دولار إلى 120 دولار، وفي حال كان المستخدم لا يسمح بأن تستخدم التطبيقات بصمته، فإن تلك التطبيقات تقوم بعرض مشتريات داخلية بحيث تخطيء أصابع المستخدم لتضغط عليها بالموافقة.
وتتمثل التطبيقات محل الجدل في ثلاثة تطبيقات وهي Heart Rate Monitor وFitness Balance app وCalories Tracker app، وجميعها تتشابه في أدائها ومهامها، ومن غير الواضح إن كانت جميعها قادمة من يد نفس المطور أم مطورين مختلفين، حيث أن متجر أبل قد قام بحذف تلك التطبيقات بعد التأكد من أنها تقوم بأنشطة تخالف معايير وشروط قبول التطبيقات على الآب ستور.
المثير للاستغراب أن شروط متجر أبل للتطبيقات يعتبر من أصعب المتاجر من حيث إجراءتها وشروطها الصعبة لقبول التطبيقات، مقارنة بما يتطلبه متجر جوجل بلاي، ولكن من الواضح أن التطبيقات كانت ملتزمة بشروط متجر للحصول على الموافقة المبدأية، ومن ثم قاموا بتغيير بعض المزايا وإضافة طبقة جديدة من المزايا التي تستغل الأذونات الخاصة بالتطبيقات والتي حصلت عليها بمقتضى المزايا التي تقدمها، ومن ثم عبثت بها بشكلٍ سري لم تتمكن أبل من رصده.
وأشار ستيفن كوب، باحث أمني من شركة ESET للأمن المعلوماتي، إلى أن الفكرة وراء هذا الهجوم معتمد على نفس الأسلوب الذي يستغل به الهاكرز أكواد الـ QR والتي تسمح بتضمينها أكواد برمجية وتحميلات فيروسية لتطبيقات خبيثة تحدث بمجرد أن يقوم المستخدم بتسليط عدسة كاميرته عليها دون أن يعرف ما ينتظره داخل هذا الكود، حيث اعتمدت التطبيقات الخبيثة في هذا الهجوم على استغلال ثقة المستخدمين فيهم وفيما يقدمونه من مزايا، إلى أنهم استغلوا طريقة عمل البصمة داخل التطبيقات حيث أنها لا تحمل طبقتين من تأكيد موافقة المستخدمين على ما سيحدث عند تأكيد طلبهم ببصمتهم.