حذّرت منظمة “Smex” المتخصصة برصد انتهاكات الخصوصية على الإنترنت وتعزيز الحقوق الرقمية، من ثغر أمنية خطيرة في تطبيق ورق الشدة الشهير #جواكر.
ورصدت المنظمة، ثغراً تتعلّق بالخصوصية وأمن المعلومات، كونه يعتمد على ميزة “ويب فيو WebView”، وهي متصفح ويب داخل التطبيق يعرض محتوى الويب مباشرة في داخل التطبيق، ويطلب كذلك الكثير من الأذونات.
وبحسب “سميكس” فإنّ استخدام جواكر هذه الميزة يمنح المهاجمين القدرة على تفعيل تعليمات برمجية عن بُعد وتنفيذ “هجمات الوسيط” (Man-in-the-Middle Attacks) التي تسمح لهم باعتراض الاتصالات بين المستخدمين والتطبيق. على سبيل المثال، يمكن للمهاجم الذي يستخدم طريقة “هجمات الوسيط” خداع المستخدم والادّعاء بأنّه هو التطبيق، بحيث يطلب من المستخدم كلمات المرور الخاصة به لتطبيقات أخرى مثل #فايسبوك أو البريد الإلكتروني #جي_ميل، بالإضافة إلى أن التطبيق يستخدم “ويب فيو” أيضاً لتحميل محتوى (HTML) من شبكات المعلنين عن بُعد. وهذه الإعلانات معرّضة أيضاً لـ”هجمات الوسيط”.
وبالإضافة الى ما سبق، يتطلّب “جواكر” عدداً كبيراً من الأذونات غير الضرورية على أجهزة #أندرويد، مثل الوصول إلى الميكروفون و”صور غوغل” وتشغيل الشاشة وغيرها. يمكن لتطبيق جواكر تشغيل الهاتف تلقائياً، ما يعني أنّ بإمكانه الاستمرار في الوصول إلى قدرات الهاتف، مثل التسجيلات الصوتية، حتى إذا لم يكن التطبيق مفتوحاً ولم تكن تلعب الشدّة.
أما بالنسبة إلى سياسة الخصوصية، فبحسب المنظمة، فإن جواكر ينشر سياسة خصوصية لا تتعدّى الأسطر، ولكنّ العثور عليها أمر شاقّ كما أنّها لا تنصّ بوضوح على حماية بيانات المستخدمين. ويمكن العثور على سياسة الخصوصية الخاصّة بتطبيق جواكر في صفحة “الخصوصية والبنود” التي تصل إليها عبر النقر على رابط في أسفل الموقع.
ودعت المنظمة جميع مستخدمي هذا التطبيق إلى التحقّق من الأذونات التي يطلبها هذا التطبيق وأي تطبيق، ومنع الأذونات غير الضرورية. كما قدمت توصيات للتطبيق لمعالجة هذه المشاكل، منها تحديث برمجياتهم وإضافة عمليات التحقق من “جافا سكريبت”، إلى جانب نشر سياسة خصوصية واضحة تحترم حقوق المستخدمين، وتحدّد بوضوح البيانات التي يجمعها التطبيق، وكيف يخزّن البيانات، وسبب جمعها وتخزينها، وأن تذكر الجهات التي يمكنها الوصول إلى البيانات، والتدابير المتخذة لحماية بيانات المستخدمين.