مشعل الرحمن / هيئة الاندرويد
ملخص طويل
- تستعد شركة جوجل لتطبيق ميزة التحقق من الهوية التي تجبرك على استخدام بياناتك الحيوية لفتح قفل التطبيقات.
- ومع ذلك، لن تكون البيانات الحيوية إلزامية إلا إذا كان الجهاز خارج موقع موثوق به.
- هذا حتى لا يتمكن اللصوص الذين يعرفون رقم التعريف الشخصي لشاشة قفل هاتفك من فتح تطبيقاتك لسرقة بياناتك.
شاشة قفل هاتفك هي الشيء الرئيسي الذي يحمي جميع تطبيقاتك وبياناتك من أعين المتطفلين. ولكن ماذا يحدث إذا ألقى لص نظرة خاطفة من فوق كتفك، ورأى رقم التعريف الشخصي لشاشة القفل الخاصة بك، واختطف هاتفك من يديك؟ فجأة، أصبحت العديد من تطبيقاتك وبياناتك الشخصية عرضة للخطر، حتى لو كانت محمية بطبقة إضافية من الأمان وهي المطالبات البيومترية لنظام أندرويد. وذلك لأن العديد من التطبيقات التي تستخدم المطالبات البيومترية لنظام أندرويد تتيح لك إدخال بيانات اعتماد شاشة قفل الجهاز كآلية احتياطية. لحسن الحظ، بينما كنت أبحث في أندرويد 15 QPR1 بيتا 2 في الإصدار الذي أصدرته Google في اليوم الآخر، وجدت دليلاً على أن الشركة تعمل على حل هذه المشكلة – وهو يأتي مباشرة من حماية أجهزة Apple المسروقة كتاب اللعب.
في تطبيق الإعدادات، عثرت على سلسلة جديدة مثيرة للاهتمام تسمى mandatory_biometrics_prompt_description. يظهر “التحقق من الهوية قيد التشغيل”. يحتوي تطبيق الإعدادات على رمز لإظهار سلسلة “التحقق من الهوية قيد التشغيل” هذه عندما يستدعي مربع حوار المطالبة بالقياسات الحيوية في Android. ومع ذلك، لا يعرض تطبيق الإعدادات هذه السلسلة عندما يستدعي مطالبة بالقياسات الحيوية، وهو ما يحدث عندما تحاول تغيير وضع USB أو مهلة الشاشة في أندرويد 15.
شفرة
Identity Check is on عند البحث بشكل أعمق، وجدت أن هذه الميزة مذكورة في العديد من الفئات المتعلقة بالقياسات الحيوية في Android. على وجه التحديد، يبدو أن Google تقوم بإعداد Android لتجاهل عندما تستدعي التطبيقات مربع حوار مطالبة القياسات الحيوية باستخدام رقم التعريف الشخصي/كلمة المرور/النمط البديل. ومع ذلك، لن يتم ذلك إلا عند تشغيل “القياسات الحيوية الإلزامية”.
على الرغم من أن Android 15 QPR1 نفسه لا يحتوي على أي رمز يخبرنا بموعد تشغيل “القياسات الحيوية الإلزامية”، فإن الوصف الخاص بالعلم الذي يتحكم في الميزة يمنحنا دليلاً كبيرًا. فهو ينص على وجه التحديد على أنه “عندما يكون الهاتف خارج المواقع الموثوقة”، يجب على Android إزالة “الخيار البديل LSKF” من مربع حوار مطالبة القياسات الحيوية. يرمز LSKF إلى عامل معرفة شاشة القفل (LSKF)، وهو المصطلح الفني لرقم التعريف الشخصي أو كلمة المرور أو نمط التمرير المستخدم لإلغاء قفل جهازك. يؤكد هذا الوصف كيفية تشغيل “القياسات الحيوية الإلزامية”، لكنه لا يوضح ماهية هذه “المواقع الموثوقة” أو ما إذا كان نظام التشغيل نفسه هو الذي يتتبع متى يكون الهاتف خارجها.
في وقت سابق من اليوم، على الرغم من ذلك، متكررة سلطة الأندرويد مساهم تجميع التصحيح نشر لقطة شاشة على X والتي وضعت القطعة الأخيرة من اللغز. كشفت لقطة الشاشة الخاصة به أن Google تستعد لتحديث أماكن موثوقة الميزة الجديدة — التي تبقي هاتفك مفتوحًا عندما يكون في مكان موثوق به مثل منزلك — مع خيار “القياسات الحيوية الإلزامية” الجديد. يتماشى هذا تمامًا مع اكتشافي في Android 15 QPR1 ويشير إلى أن خدمات جوجل بلاي سيتتبع التطبيق متى يكون هاتفك خارج موقع موثوق. إذا كان الأمر كذلك، فسيخبر نظام التشغيل بتشغيل القياسات الحيوية الإلزامية، مما يتسبب في إخفاء رقم التعريف الشخصي/كلمة المرور/النمط البديل عندما تستدعي التطبيقات مربع حوار المطالبة بالقياسات الحيوية.
إذا كان هذا يبدو مألوفًا لأي من قرائنا الذين لديهم أجهزة Apple، فذلك لأن هذا هو نفس الشيء الذي تفعله أجهزة iPhone عند تمكين حماية الجهاز المسروق. عند تمكين هذه الميزة، تتطلب بعض الإجراءات مثل الوصول إلى كلمات المرور المخزنة وبطاقات الائتمان المصادقة البيومترية عبر Face ID أو Touch ID عندما يكون الجهاز بعيدًا عن موقع مألوف.
من المأمول أن يكون نهج جوجل في التعامل مع هذه الميزة – والتي يبدو أنها تسمى التحقق من الهوية – بنفس القدر من الفعالية عند طرحها. لا نعرف متى سيحدث ذلك، ولكن عندما يحدث، فقد يتطلب Android 15 QPR1 أو أعلى، نظرًا لأنه يتضمن تغييرات أساسية في سلوك تطبيق النظام الذي يتعامل مع مربع حوار المطالبة البيومترية.
شكر خاص للباحث الأمني لينكسكت لمساعدتهم في البحث عن هذه الميزة!
