أمن الهواتف الذكية بقلم المهندس اسماعيل بابكر

أصبح أمن الهواتف ذا أهمية كبيرة وذلك بسبب التوسع في انتشار الهواتف النقالة (الذكية). ومما يثير القلق بشكل خاص هو أمن المعلومات الشخصية والتجارية المخزنة الآن على الهواتف الذكية. كما أن الكثير من مستخدمي الإنترنت يستخدمون الهواتف الذكية مثل وسائل الاتصال، أيضاً كوسيلة لتخطيط وتنظيم عملهم وحياتهم الخاصة. الهواتف الذكية تحتوي على كمية كبيرة من المعلومات الحساسة التي يجب الحفاظ عليها وحمايتها. كما يجب معرفة أن جميع الهواتف الذكية، وأجهزة الحاسوب هي الأهداف المفضلة للهجمات. وهذه الهجمات غالباً ما تستغل نقاط الضعف المتعلقة بالهواتف الذكية التي يمكن أن تأتي من وسائل الاتصال مثل خدمة الرسائل القصيرة (SMS)، وخدمة الرسائل متعددة الوسائط(MMS)وجي اس ام (GSM) وشبكات الواي فاي (Wi-Fi).
هناك ثلاث أهداف رئيسية للمهاجمين
البيانات:الهواتف الذكية هي أجهزة لإدارة البيانات وبالتالي ربما تحتوي على بيانات حساسة مثل أرقام بطاقات مالية وشخصية ومعلومات المصادقة معلومات خاصة.
الهوية: الهواتف الذكية هي عالية للتخصيص لذلك يرتبط الجهاز أو محتوياته مع شخص معين .
الإتاحة :من خلال مهاجمة هاتف ذكي واحد يمكن أن يحد من الوصول إليها وحرمان المالك من هذه الخدمة.
الهجوم المعتمد على الاتصالات
الهجوم المعتمد على الرسائل النصية القصيرة ورسائل الوسائط المتعددة
هناك بعض الهجمات التي تحصل بسبب وجود بعض نقاط الضعف في إدارة الرسائل النصية القصيرة (SMS) ورسائل الوسائط المتعددة (MMS). وأيضاً هناك بعض أنواع الهواتف المحمولة التي تحوي مشاكل في إدارة الرسائل النصية القصيرة الثنائية التي من الممكن ان تتسبب في حدوث هجمات الحرمان من الخدمة على سبيل المثال إذا قام مستخدم لـهاتف محدد باستقبال رسالة نصية تحوي أحرف صينية سيؤدي ذلك إلى حرمانه من الخدمة وفي حالة أخرى، عندمايتطلب معيار الحجم الأقصى لعنوان البريد الإلكتروني لأجهزة النوكيا مقدار 32 حرف بينما بعض أجهزة النوكيا لا تحقق هذا المعيار، سيحدث خلل في معالج البريد الإلكتروني إذا قام المستخدم بإدخال عنوان لبريد إلكتروني يتعدى حجم 32 حرف. يسمى هذا الهجوم “لعنة الصمت وقد كشفت دراسة عن سلامة البنية التحتية لخدمة الرسائل النصية القصيرة أن هذه الرسائل القصيرة المرسلة من الانترنت يمكن أن تستخدم إجراء الهجوم الموزع للحرمان من الخدمة من هجوم الحرمان من الخدمة ضد البنية التحتية للاتصالات المتنقلة بين المدن الكبيرة.هذا الهجوم يستغل تأخير استلام الرسائل ليقوم بهجوم يؤدي للإفراط في الشبكة. وهناك هجوم آخر من المحتمل حدوثه مع الهواتف التي ترسل رسائل الوسائط المتعددة إلى الهواتف الأخرى مع ملف مرفق. حين يكون هذا الملف المرفق مصاباً بفيروس. وعندما يقوم المستخدم بفتح الملف المرفق عند استلامه لرسائل الوسائط المتعددة تلك سيصاب هاتفه، وسيقوم الفيروس بإرسال هذا الملف المرفق إلى جميع جهات الاتصال في دفتر عناوين هذا الهاتف المصاب. وهناك مثال واقعي لهذا الهجوم يدعى “The Virus Commwarrior” وهو فيروس يستخدم دفتر العناوين ليرسل رسائل وسائط متعددة إلى جميع جهات الاتصال بما في ذلك ملفات مرفقة مصابة بالفيروس ليصيب هواتف المتلقين بعد أن يقوم المستخدم بتحميل البرنامج في الملف المرفق.
الهجوم المعتمد على WI-FI
امن الشبكات اللاسلكية (WLAN) نستطيع تامين الشبكات عن طريق التشفير باستخدام مفتاح التشفير WEP اختصار ل (Wired Equivalency Protocol) وهو مفتاح تشفير قصير يكون نفس المفتاح لجميع العملاء المتصلين بالشبكة، ولكن معظم الشبكات اللاسلكية محمية ببرتوكول WPA وهو اختصار للجملة (Protected Access ) وهذا النوع من التشفير يعتمد على جميع الأرقام والحروف لكن بشرط أن لا تقل عن 8 خانات على المستخدم نسخ مفتاح التشفير للجهاز المراد توصيله للشبكة اللاسلكية أما إذا كان مفتاح التشفير قصير أو يحتوي على أرقام فقط قد يستطيع المهاجمين من اختراق الشبكة اللاسلكية لان المدخلات محدودة ويمكن تخمينها هو إصدار أحدث من WPA وهو الأقوى من بين أنظمة التشفير إذ انه يقوم بتغير مفتاح التشفير كل 30 ثانية ويستطيع المستخدم تقليل هده الفترة الزمنية أو زيادتها.
أما GSM إذا استطاع المهاجم اختراق مفتاح الهوية سيتسنى له الهجوم على الهاتف والشبكة أيضا. وهناك العديد من الشبكات المحلية اللاسلكية LANs للهواتف الذكية التي تقوم بالاتصال بشكل تلقائي دون الحاجة إلى إعادة تعريف الشبكة مع كل اتصال يجريه المستخدم لذلك يمكن للمهاجم إنشاء نقطة وصول ل WIFI بنفس المعلومات والخصائص لشبكة حقيقية وقد يخلط الهاتف بين الشبكتين ويقوم بالاتصال بشبكة المهاجمين وفي هذه الحالة قد تتعرض بيانات الهاتف للاختراق باالفيروسات التي تصيب الهاتف عن طريق الشبكات اللاسلكية بعد تثبيت نظامSIS وهو عبارة عن ملف نصي يمكن تنفيذه بواسطة هذا النظام بدون تفاعل المستخدم مع الهاتف المحمول عن طريق التنزيلات التي يقوم بها المستخدم ويعتقد أنها أمنه.