Google تطلق درعًا جديدًا لحماية Android من هجمات التوريد

أعلنت شركة Google عن توسيع ميزة الشفافية الثنائية (Binary Transparency) في نظام Android، وذلك في خطوة تهدف إلى حماية النظام البيئي من هجمات سلسلة التوريد (Supply Chain Attacks).

وقالت فرق المنتجات والأمن في الشركة:
“يضمن هذا السجل العام الجديد أن تطبيقات Google الموجودة على جهازك هي بالضبط ما قمنا ببنائه وتوزيعه.”

وتستند هذه المبادرة إلى مشروع Pixel Binary Transparency الذي أطلقته Google في أكتوبر 2021، بهدف تعزيز سلامة البرمجيات عبر التأكد من أن أجهزة Pixel تعمل فقط بنسخ نظام تشغيل موثوقة، وذلك من خلال الاحتفاظ بسجل عام مشفّر يحتوي على بيانات وصفية حول صور النظام الرسمية.

ويعكس هذا الإطار الأمني القابل للتحقق نموذج Certificate Transparency، وهو إطار مفتوح يفرض تسجيل جميع شهادات SSL/TLS الصادرة في سجلات عامة غير قابلة للتعديل ويمكن التحقق منها تشفيريًا، مما يساعد على اكتشاف الشهادات المزورة أو الضارة.

وتهدف هذه الخطوة إلى مواجهة المخاطر الناتجة عن هجمات سلسلة التوريد الثنائية، والتي غالبًا ما تعتمد على إدخال تعليمات برمجية خبيثة عبر قنوات تحديث البرامج، مع الحفاظ على التواقيع الرقمية سليمة. ومن أحدث الأمثلة على ذلك اختراق برامج تثبيت نظام Microsoft Windows الخاصة ببرنامج DAEMON Tools، حيث تم استخدامها لنشر باب خلفي خفيف، يعمل لاحقًا كقناة لنشر برمجية خبيثة تُعرف باسم QUIC RAT.

واللافت أن هذه البرامج تم توزيعها عبر الموقع الرسمي لـ DAEMON Tools، وكانت موقعة بشهادات رقمية تعود لمطوري البرنامج أنفسهم.

وأكدت Google أن الاعتماد على التوقيع الرقمي وحده لم يعد كافيًا، موضحة:
“التوقيع لا يضمن أن هذه النسخة من البرنامج هي النسخة المقصودة للنشر من قبل المطور. فالتوقيعات الرقمية هي شهادة مصدر، بينما الشفافية الثنائية تمثل شهادة نية.”

ومن خلال توسيع هذه الميزة في Android، تهدف الشركة إلى ضمان أن البرامج الموجودة على جهاز المستخدم هي نفس النسخ التي تم إنشاؤها وتوزيعها رسميًا. وبناءً على ذلك، فإن جميع تطبيقات Android الإنتاجية من Google التي تم إصدارها بعد 1 مايو 2026 ستحتوي على إدخال تشفيري يؤكد أصالتها.

وتشمل المبادرة حاليًا تطبيقات Google الأساسية، بما في ذلك خدمات Google Play والتطبيقات المستقلة، بالإضافة إلى وحدات Mainline التي تعد جزءًا من نظام التشغيل ويمكن تحديثها بشكل ديناميكي خارج دورة التحديث التقليدية.

وأضافت الشركة:
“يوفر هذا النظام مصدرًا شفافًا للحقيقة، يتيح لأي شخص التحقق من أن برنامج Google على جهاز Android هو إصدار رسمي معتمد ولم يتم التلاعب به. وإذا لم يكن البرنامج موجودًا في السجل، فهذا يعني أن Google لم تصدره كبرنامج رسمي، وسيتم اكتشاف أي محاولة لنشر نسخة غير مصرح بها.”

وكجزء من هذه المبادرة، توفر Google أيضًا أدوات تحقق يمكن للمستخدمين والباحثين استخدامها لفحص حالة الشفافية للبرمجيات المدعومة.

وتأتي هذه الخطوة في ظل تزايد هجمات سلسلة التوريد التي استهدفت المطورين والمستخدمين خلال الأشهر الأخيرة، حيث يلجأ المهاجمون بشكل متزايد إلى اختراق حسابات المطورين واستغلالها لنشر البرمجيات الخبيثة، ما يمكنهم من إصابة عدد كبير من المستخدمين دفعة واحدة.

واختتمت Google بالقول:
“تمثل هذه المبادرة ركيزة أساسية لحماية خصوصية وأمن المستخدمين، لأنها تغيّر بشكل جذري معادلة القوة في تحديثات البرمجيات، وتضيف طبقة حماية قوية ضد الإصدارات غير المصرح بها.”