لا يمكن لأحد استخدام الهواتف الذكية استخداما تقليدا دون الاستفادة من ملايين التطبيقات المتوافرة في متاجر التطبيقات، سواء كانت عبر أبل ستور لأجهزة أبل أو جوجل بلاي للأجهزة العاملة بنظام أندرويد؛ فالهواتف الذكية حاليا قد لا تساوي شيئا دون تطبيقاتها، لكن بسبب كثرة هذه التطبيقات يبدو أنه من الصعب على شركتي أبل وجوجل السيطرة عليها، فقد حقنت هذه المتاجر بالتطبيقات التي تحتوي على ثغرات تضر الهواتف الذكية، وتسهل عملية اختراقها أو قرصنة محتويات الهاتف والاطلاع عليها على أقل تقدير. وهناك عدد كبير من التطبيقات المخصصة لأجهزة أبل العاملة بنظام iOS، والمتاحة عبر متجر أبل للتطبيقات، معرضة لثغرة تتيح للقراصنة تنفيذ هجوم من نوع MITM، ما يعرض بيانات المستخدمين للخطر. فبعد تحليل الشفرة البرمجية الخاصة بعدد من التطبيقات المتاحة على متجر أبل تم الكشف أن مئات منها معرضة لعلميات الاعتراض الصامت للبيانات من قبل القراصنة، حتى إن كانت هذه البيانات مؤمنة أو مشفرة. وكشفت التحليلات الأولية للبيانات عن وجود 76 من التطبيقات الشهيرة لنظام iOS، وتحديدا التطبيقات التي تعمل على نظام iOS 10، معرضة لثغرة تسمح بهجمات Man In The Middle، حتى إن كانت البيانات فيها يتم تناقلها بشكل مؤمن ومشفر، كما أن تلك التطبيقات المعرضة للهجوم تم تحميلها نحو 18 مليون مرة على أجهزة أبل الذكية العاملة بنظام iOS 10، ما يضع بيانات الملايين من المستخدمين عرضة للاعتراض أو التلاعب من قبل القراصنة، حيث تعمل الثغرة بسبب كود تستخدمه هذه التطبيقات يسمح بقبول أي شهادة توثيق لإنشاء اتصال مؤمن، ما يسهل للقراصنة خداع هذه التطبيقات واعتراض الاتصال خاصة إن كان المستخدم متصلا عبر شبكة لاسلكية، وهذه الثغرة يصعب استغلالها إذا ما كان المستخدم متصلا بالإنترنت عبر شبكات الجوال. وهناك 33 من هذه التطبيقات متأثرة بشكل منخفض من الثغرة التي تسمح بهذه الهجمات، حيث يمكن للقراصنة الحصول على بيانات حساسة جزئيا مثل عناوين البريد الإلكتروني، وبعض البيانات التي يتم تسجيلها بشكل غير مؤمن. وفي المقابل وصل عدد التطبيقات المتأثرة بشكل متوسط من الثغرة إلى نحو 24 تطبيقا، حيث يمكن للقراصنة اعتراض عمليات تسجيل الدخول والحصول على رموز المصادقة لهذه العمليات، ما يعرض حسابات مستخدمي هذه التطبيقات لخطر الاختراق، في الوقت ذاته بلغ عدد التطبيقات المتأثرة بشكل عالي الخطورة لهذه الثغرة نحو 19 تطبيقا، حيث يمكن للقراصنة اعتراض عمليات تسجيل دخول إلى حسابات حساسة مثل الحسابات المالية والمصرفية، وحسابات خدمات طبية، كما يستطيع القراصنة الحصول على الرموز الأمنية لمحاكاة عمليات تسجيل الدخول فيما بعد. وهناك عدد من التطبيقات المتأثرة من هذه الثغرة تطبيق ooVoo وYeeCall وتطبيق منصة البث الحي Loops Live. ويذكر أن هذه الثغرات تم الكشف عنها عبر تحليلات للباحث ويل سترافيش، الذي وضع فترة تمتد ما بين شهرين إلى ثلاثة أشهر للسماح لمطوري التطبيقات المتأثرة بإصدار تحديثات أمنية تحمي المستخدمين قبل أن يقوم بالإعلان عن أسماء هذه التطبيقات، حيث أكد أن الثغرة معقدة ولا يمكن حلها من قبل المستخدمين أو من شركة أبل وأن المطورين فقط من يستطيعون علاجها وسدها نهائيا. قامت جوجل بعد الانتظار لفترة طويلة باتخاذ إجراءات فعلية لحذف ملايين من تطبيقات نظام أندرويد المتوافرة على متجر جوجل بلاي، وذلك لعدم توفير هذه التطبيقات لسياسة واضحة عن كيفية تعاملها مع المعلومات والبيانات التي تحصل عليها من مستخدميها. وأرسلت الشركة رسالة إلى عدد كبير من المطورين تخبرهم فيها بأن تطبيقاتهم تخالف سياسة بيانات المستخدم الخاصة بمتجر جوجل بلاي، وذلك لعدم توفيرهم لسياسة خصوصية توضح للمستخدمين كيفية التعامل مع معلوماتهم الشخصية التي يتم جمعها عند استخدامهم هذه التطبيقات، ووصلت رسالة جوجل إلى مطوري التطبيقات التي تطلب صلاحيات نفاذ حساسة عند التثبيت، مثل استخدام الكاميرا أو الميكرفون أو الحصول على معلومات حساب المستخدم الشخصية أو الاطلاع على قائمة جهات الاتصال أو القدرة على إجراء مكالمات. وطالبت جوجل بأن يوفر المطورين رابطا لسياسة خصوصية توضح للمستخدمين بشكل مفصل كيفية تعامل التطبيقات مع بياناتهم، وما البيانات التي يتم جمعها، على أن يكون هذا الرابط ظاهرا بصورة واضحة، إما في صفحة التطبيق على متجر جوجل بلاي أو بداخل التطبيق. وأعطت جوجل مهلة للمطورين حتى 15 من مارس المقبل لتنفيذ طلبها بتوفير سياسة خصوصية في التطبيقات المخالفة، أو تقوم بحذف هذه التطبيقات من متجر جوجل بلاي، كما أوضحت أن المطورين الراغبين في عدم توفير سياسة خصوصية بتطبيقاتهم عليهم التخلي عن أي صلاحيات نفاذ حساسة، وإلغاء أي ميزة تتطلب معلومات شخصية من المستخدمين.