شهدت مسابقة القرصنة PwnFest التي أجريت في العاصمة الكورية الجنوبية سيول حدثاً كبيراً تمثل في تمكن فريق أمني صيني من اختراق هاتف جوجل الجديد “بيكسل” في وقت قياسي بلغ 30 ثانية فقط!
الفريق الصيني التابع لشركة Qihoo 360 الصينية المتخصصة في الأمن التكنولوجي ينتمي إلى قراصنة القبعات البيضاء والذين يقوم عملهم على اكتشاف الثغرات التكنولوجية لتلافيها ودفع الشركات نحو إصلاحها على عكس قراصنة القبعات السوداء الذين ينتهجون الأعمال التخريبية.
وحصل الفريق على جائزة مالية بلغت 120 ألف دولار من شركة جوجل مقابل إعلامها بتفاصيل الثغرات الأمنية التي تبين أنها من نوع Zero Day وسمحت الثغرة للفريق بالحصول على تحكم كامل عن بعد بالهاتف والوصول إلى مختلف المعلومات الشخصية كالأسماء والرسائل وسجل الاتصالات.
الخبراء التقنيون في المسابقة أكدوا أن هذا النوع من الثغرات قد يكون أكثر خطورة من مجرد معرفة الأرقام الشخصية وقد يسمح للمخترق بالتجسس على البريد الإلكتروني وحتى الحسابات البنكية التي قد يتم إجراء عملياتها من الهاتف مما يعرض صاحب الهاتف لخسارة أمواله أو معلوماته الهامة.
هذه ليست المرة الأولى التي يبرز فيها فريق Qihoo 360 إذ سبق له اختراق سيارة Tesla Model S الكهربائية حيث تمكن من إقفال أبوابها وإطلاق بوق الإنذار وكذلك منع السيارة من التحرك في الجهات المختلفة والتأثير على ثبات السيارة أثناء قيادتها، كما اخترق تطبيق أدوبي فلاش ومتصفح سفاري التابع لشركة آبل، وبلغ مجموع الجوائز التي حصل عليها هذه السنة 520 ألف دولار.
أفضل ما حدث هو إبلاغ الشركات المذكورة بالثغرات الأمنية التي اكتشفها قراصنة القبعات البيضاء ليتمكنوا من تصحيح وإصلاح الثغرات في أجهزتهم ومنتجاتهم.
هل يعد اختراق جوجل بيكسل مؤشراً خطيراً؟
بداية الشهر الحالي أعلن مدير قسم الأمن في أندرويد أدريان لودويغ أن هواتف أندرويد أصبحت تملك مستوى من الأمان يساوي ذلك الموجود في هواتف آيفون التي تعمل بنظام ios وأن الأنظمة الحالية للأمان في أندرويد تعتبر “شبه مثالية” بحسب تعبيره.
لودويغ أضاف في مؤتمر صحفي حضره أن هاتف جوجل بيكسل وهاتف آيفون 7 هما بلا شك متساويان من ناحية الأمان، وأن أندرويد قريباً سيتجاوز ios في هذا المجال.
شركة أندرويد كذلك قالت أنها تستعمل برمجية للأمان تدعى Safety Netوالتي تفحص يومياً أكثر من 400 مليون جهاز وأكثر من 6 مليار تطبيق يومياً، وأن نتائج هذه الفحوص الدورية أشارت إلى أن أقل من 1% من الأجهزة التي تعمل بنظام أندرويد تحوي برمجيات خبيثة.
كل تلك التصريحات والأرقام ذهبت أدراج الرياح بعد تمكن فريق القبعات البيضاء من اختراق هاتف جوجل بيكسل، وأبرزت مخاوف كبيرة لدى المستخدمين وكذلك الراغبين في شراء الهاتف من تعرضهم للاختراقات الأمنية وخسارة معلومات شخصية أو تفاصيل هامة مثل حساباتهم الإلكترونية أو البنكية.
شركة جوجل سارعت لتعلن أنها تمكنت من إصلاح الثغرة الأخيرة بعد إبلاغها من قبل فريق القبعات البيضاء، وأنها تمكنت من تطبيق التغييرات فوراً على نسخة الهاتف من متصفح Google Chrome.
لكن الثغرة الخاصة بنوع Zero Dayوالتي مكنت قراصنة القبعات البيضاء من التحكم بشكل كامل في وظائف أساسية في الهاتف عن بعد بقيت محل تساؤل كبير خصوصاً أن شركة جوجل لم تعلن الانتهاء منها بل قالت أن فريقها التقني يعمل على إصلاحها بشكل نهائي.
على الجانب الآخر ما زال منافس هاتف جوجل بيكسل الرئيسي آيفون 7 عصياً على الاختراق حتى الآن كما هو الحال بالنسبة لهاتف آيفون 6 مما يعني أن المستخدمين الذين يملكون مخاوف أمنية سوف يلجأون بالتأكيد إلى شراء هواتف آيفون عوضاً عن المخاطرة بشراء هواتف جوجل بيكسل، وهنا يبرز سؤال مهم: هل هناك فعلاً مخاطرة في شراء هاتف جوجل بيكسل؟
العديد من الخبراء التقنيين يعتبرون أن المخاوف بالنسبة لاختراق هاتف جوجل بيكسل مبالغ بها بعض الشيء، إذ أن شركة كبرى مثل جوجل بعد حصولها على تفاصيل الثغرات الأمنية من فريق القبعات البيضاء ستعمل بشكل حاسم على إنهاء أي شكوك ومخاطر حول الأمان بالنسبة لمستخدمي هاتفها الذي ترغب بمنافسة آبل عبره.
وثانياً فإن الثغرات الحالية والتي تنتمي لنوع Zero Day لا تمكن المخترقين من مهاجمة أعداد كبيرة من الناس في وقت واحد، وبالتالي من منظور شركة جوجل هي ليست خطراً كبيراً بل مجرد ثغرة صغيرة في نظام الأمان يمكن إصلاحها بوقت قصير وطمأنة المستخدمين حول استخدام هواتف بيكسل.
مؤتمرات القرصنة القانونية، وسيلة للأمان وجذب الكفاءات
العديد من الاجتماعات السنوية تقام في مختلف الدول وخصوصاً كوريا واليابان لتحتضن قراصنة القبعات البيضاء من مختلف أنحاء العالم، والذين يتنافسون للحصول على الجوائز التي تضعها الشركات مقابل اختراق برمجياتها أو أجهزتها وإبراز مهاراتهم في مجال الأمن الرقمي.
شركات التكنولوجيا الكبرى تتوافد إلى مؤتمرات القرصنة القانونية مثل PwnFest لمعرفة الثغرات التي قد تكون موجودة في أجهزتها وبرمجياتها حيث يساعدها ذلك على استدراكها وإصلاحها بأفضل وأسرع الطرق الممكنة.
كما تعتبر تلك المؤتمرات فرصة استثنائية للاطلاع على ثغرات الشركات الأخرى لتفاديها أو حتى استثمارها في زيادة مبيعاتها على حساب المنافسين، كما فعلت جوجل مع أحد الثغرات التي اكتشفت في نظام ويندوز 10 الخاص بشركة مايكروسوفت أثناء أحد مؤتمرات PwnFest للقرصنة.
القراصنة الشباب كذلك والذين ينتمون للقبعات البيضاء يجدون في مؤتمرات القرصنة القانونية فرصة لاستعراض إمكانياتهم في مجال الأمان التقني، وكثيراً ما تبحث الشركات بين هؤلاء عن أشخاص مميزين لاستثمار مواهبهم ومعارفهم عبر توظيفهم في مجالات الأمن في تلك الشركات وبالتالي تطوير أنظمتها الأمنية بشكل مستمر دائماً.
لذلك بالنظر من وجهة نظر أخرى فإن شركة جوجل قد تكون الرابح الأكبر وليس الخاسر كما يبدو للوهلة الأولى من مؤتمر PwnFest للعام الحالي، حيث أن الكشف المبكر للثغرات الأمنية في هاتفها بيكسل سيمكنها من إصلاح تلك الثغرات دون التعرض فيما بعد لمشاكل كبيرة قد تنتج نتيجة اختراق هواتفها وقد تطيح بفرصها في منافسة آبل وهاتفها الرائد آيفون 7.