هل التطبيق آمن للتحميل؟ قائمة فحص عملية

تم تصميم عملية تثبيت التطبيق لتبدو بسيطة. اضغط، وافق، تم. إزالة هذا الاحتكاك قرار منتج مقصود — وهذا بالضبط السبب في أن اكتشافات البرمجيات الخبيثة للهواتف وصلت إلى 3.4 مليون حزمة ضارة على أندرويد وحده في الربع الأول من 2024، وفقاً لوحدة الذكاء التهديدي في كاسبرسكي. معظم هذه التطبيقات لم تكن نسخاً واضحة ومزعجة. تنكرت كمصابيح يدوية وماسحات رمز QR وخدمات VPN مجانية. الحد الفاصل بين التحميل الآمن وكابوس حصاد البيانات غالباً ما يتعلق بعدد قليل من الفحوصات المحددة. فحوصات تستغرق وقتاً أقل من قراءة إشعار فوري.

شاشة الأذونات ليست مجرد بيروقراطية

يضغط معظم الناس على "السماح للجميع" والمضي قدماً. مفهوم — تبدو الحوارات مثل بوابات الرسوم السريعة، شيء يجب تجاوزه للوصول إلى الوجهة الفعلية. لكن هذه الشاشة هي الإشارة الأكثر صراحة التي سيعطيك إياها التطبيق على الإطلاق حول نواياه الحقيقية.

تنقسم الأذونات إلى فئات. على أندرويد 13 فما فوق، الأذونات "العادية" (الوصول إلى الإنترنت، التحكم في الاهتزاز) يتم منحها تلقائياً عند التثبيت. الأذونات "الخطيرة" — الموقع، الكاميرا، الميكروفون، جهات الاتصال، الرسائل النصية، التخزين — تتطلب موافقة صريحة من المستخدم وهي التي تستحق التدقيق. تتبع iOS تقسيماً مشابهاً، وتطلب الموافقة فقط عندما يحاول التطبيق الوصول لأول مرة إلى مورد حساس. السؤال الذي يجب طرحه بسيط جداً: هل يحتاج هذا التطبيق فعلاً إلى هذه الأذونة للقيام بوظيفته الفعلية؟

تطبيق الطقس يطلب الموقع؟ منطقي. نفس التطبيق يطلب قائمة جهات الاتصال الخاصة بك والوصول إلى الميكروفون؟ لا يحتاج إلى أي من هذا لإخبارك أنه سيمطر.

ماذا تعني كل أذونة فعلياً

تستحق الصف الأخير اهتماماً جاداً. التطبيقات التي لديها وصول خدمة إمكانية الوصول يمكنها قراءة كل شيء يظهر على الشاشة، اعتراض الضغطات على لوحة المفاتيح، والتفاعل مع التطبيقات الأخرى نيابة عنك. تستخدم مشروعة موجودة — TalkBack، LastPass، Tasker. لكن حصان طروادة البنكية تحب هذه الأذونة أكثر من أي أخرى. GoldPickaxe، حصان طروادة موثقة من قبل Group-IB في أوائل 2024، استغلت ميزات إمكانية الوصول عبر متغيرات أندرويد و iOS لجمع بيانات التعرف على الوجه واعتراض رسائل SMS. إذا طلب منك أي تطبيق لم تبحث عنه عن قصد لأغراض إمكانية الوصول، فهذا رفض قاطع.

نقطة أخرى: على أندرويد، التطبيقات المثبتة جانبياً — المثبتة خارج متجر Play عبر ملفات APK التي تحملها مباشرة — تتجاوز الفحص السابق للتثبيت من Google تماماً. التزم بالمتاجر الرسمية إلا إذا كان لديك سبب محدد وموثق جيداً للقيام بخلاف ذلك.

كيفية معرفة ما إذا كان المطور مشروعاً فعلاً

اسم المطور في قائمة المتجر هو أحد أول الأشياء التي يجب التحقق منها. وأحد أسهل الأشياء للتزييف.

خدعة متكررة تسير بهذه الطريقة: يقوم ممثل سيء بنسخ اسم وأيقونة تطبيق شهير، يسجل حساب مطور تحت اسم مختلف بشكل طفيف، وينشر المزيف. أزالت Google 2.28 مليون تطبيق ينتهك السياسة من متجر Play في 2023 — هذا الرقم يأتي مباشرة من تقريرهم السنوي الشفاف — وهذا لا يحسب الأشياء التي مرت دون أن يكتشفها أحد. تطبيقات النسخ هي حقيقية وجزء مستمر من هذه المشكلة، خاصة حول الخدمات المصرفية والعملات المشفرة والأدوات.

اختبرت هذا مرة واحدة مع البحث عن تطبيق جوال بنك إقليمي رئيسي على جهاز أندرويد قديم. النتيجة الثالثة في متجر Play كانت نسخة: أيقونة متطابقة تقريباً، حساب مطور يبلغ عمره ثلاثة أسابيع، اسم شركة معقول لكن مختلف. كان لديها 4.8 نجوم. سنصل إلى السبب في أن هذا الرقم أقل طمأنة مما يبدو.

فحص مصداقية المطور: عملية خطوة بخطوة

1. ابحث عن اسم المطور بشكل مستقل. لا تعتمد على قائمة المتجر وحدها. ضع اسم المطور في Google مع إلحاق "scam" أو "malware". ستكون للشركة المشروعة وجود حقيقي على الويب خارج ملف تعريفهم بمتجر التطبيقات.

2. تحقق من متى تم إنشاء حساب المطور وعدد التطبيقات التي لديهم. حسابات جديدة تنشر تطبيقات تدعي ملايين التحميلات تستحق تدقيقاً إضافياً. على Google Play، تعرض القائمة تطبيقات المطور الأخرى — إذا كان هذا هو التطبيق الوحيد وظهر في الشهر الماضي، تحقق بعمق قبل المتابعة.

3. تحقق من موقع المطور الخارجي. يجب أن تحتوي القائمة على رابط إلى موقع حقيقي يحتوي على معلومات اتصال صحيحة. رابط المطور الذي يشير إلى صفحة فارغة أو نطاق مركوف أو موقع Wix مجاني من فقرة واحدة عام هو إشارة تحذير مهمة.

4. ابحث عن التطبيق على موقع المنظمة الرسمي. التطبيقات الكبيرة — بنكك، Spotify، مزودك للتأمين — ستذكر أو تربط تطبيقهم مباشرة من موقعهم الرئيسي. ابدأ هناك، وليس من نتيجة بحث المتجر.

5. تحقق عبر بريد دعم العملاء. إذا كان جهة الاتصال للدعم عنوان Gmail أو Hotmail وادعى التطبيق 10 ملايين تحميل، فإن عدم التطابق هذا يستحق التحقيق. تستخدم المنظمات بهذا الحجم بريداً ذا علامة تجارية.

6. ابحث عن عنوان فعلي. ليس كل مطور صغير لديه عنوان مكتب، لكن التطبيقات التي تتعامل مع المدفوعات أو بيانات الصحة غالباً ما يُطلب منها قانوناً الإفصاح عن واحد. غيابه في هذه الفئات جدير بالملاحظة.

التقييمات المزيفة أصبحت متطورة

تقييم 4.6 نجمة مع 50000 تقييم ليس بحد ذاته دليلاً على الجودة أو الأمان. يجب أن يُقال بوضوح. التلاعب بالتقييمات هو صناعة مزدهرة. وجد تحليل عام 2022 من قبل باحثين في جامعة بالتيمور أن التقييمات المزيفة أثرت على 152 مليار دولار من قرارات الشراء الاستهلاكية عالمياً في ذلك العام — متاجر التطبيقات موجودة بالتأكيد في هذا الرقم.

تطورت الإشارات. مزارع التقييمات المزيفة المبكرة أنتجت نصاً واضحاً بروبوتي: قصير، عام، غريب الرسميات. الآن يستخدمون نسخاً مُولدة بالذكاء الاصطناعي بمفردات متنوعة وتراكيب جمل مختلطة وحتى توزيع محاكاة لتقييمات 3 و 4 نجوم مبثوثة لإنشاء مظهر الأصالة. لا يمكنك الوثوق بالرقم الإجمالي. عليك قراءة التقييمات الفعلية.

إشارات أن التقييمات مزيفة

• أنماط الانفجار. رتب التقييمات حسب الأحدث، وابحث عن مجموعة كبيرة من إدخالات 5 نجوم منشورة في غضون بضعة أيام من بعضها البعض. النمو العضوي لا يبدو مثل ارتفاع عمودي.

• صيغة متطابقة أو شبه متطابقة عبر المراجعين. "هذا التطبيق غير حياتي ويعمل بشكل مثالي!" يظهر بنفس الصيغة أو معاد صياغته بشكل متطابق عبر خمس حسابات في 48 ساعة هو إخراج مزرعة النسخ والصق.

• المراجعون بدون تقييمات أخرى وبدون صور ملف شخصي. على Google Play، يمكنك الضغط على اسم المراجع لرؤية سجله. الحسابات التي لها تقييم واحد وبدون صورة رمزية واسم عام غالباً ما تُشتری من مصانع التقييمات.

• عدد النجوم بشكل غريب خارج النسبة للتقييمات المكتوبة. تقييم 4.9 نجمة مع 80000 تقييم لكن 14 ردود مكتوبة فقط مرئية هو علم أحمر. الرياضيات لا تتحقق إذا كان المستخدمون الحقيقيون يعطون التقييمات.

• تقييمات لا تصف الميزات الفعلية للتطبيق. مدير كلمات مرور يتلقى تقييمات تمدح "جودة الفيديو المذهلة" أو "الواجهة الجميلة للتصفح" يشير إلى أن التقييمات كُتبت من قبل الروبوتات أو المراجعين المدفوعين الذين لم يلمسوا المنتج أبداً.

إليك النصيحة المضادة للحدس: تطبيق 4.2 نجمة مع 1800 تقييم مفصل ومختلط غالباً ما يكون أكثر جدارة بالثقة من تطبيق 4.9 نجمة مع 100000 تطبيق موحد بشكل مريب. المتوسطات الأقل لا تعني دائماً أسوأ. أحياناً تعني أن الناس الحقيقيين تركوا آراء صادقة.

علامات حمراء بمتجر التطبيقات ربما تمر عليها دون ملاحظة

إلى جانب الأذونات والتقييمات، تحتوي القائمة نفسها على إشارات — إذا قرأتها بدلاً من امتصاصها بسلبية.

أخطاء إملائية وحروف في الوصف. المطورون المشروعون — خاصة أولئك بأي حجم ذي مغزى — لديهم شخص ما يراجع قائمة المتجر قبل النشر. الأوصاف المتقطعة بصيغة محرجة، بناء جملة مُترجم بآليات، أو أسماء كبيرة عشوائياً هي سمة شائعة للتطبيقات المبنية في عمليات احتيال منخفضة التكلفة.

تاريخ "آخر تحديث". تطبيق يدعي توفير حماية أمان حية أو بيانات مالية في الوقت الفعلي أو فحص برمجيات خبيثة نشطة لم يتم تحديثه منذ 2021 لا يسلم ما يعد به. التطبيقات الوظيفية تحصل على تحديثات. تحقق من التاريخ وقارنه بما يدعيه التطبيق أنه يفعله.

عدم تطابق عدد التحميلات مقابل عدد التقييمات. إذا أظهر تطبيق 10 ملايين تحميل لكن 800 تقييم فقط، فإن النسبة غير معقولة. المستخدمون الحقيقيون الذين يتفاعلون مع التطبيق بانتظام يميلون إلى ترك تقييمات بمعدل عضوي متسق. عادة ما يشير الفجوة الضخمة إلى أرقام تحميل مضخمة أو أرقام تثبيت مضخمة من الروبوتات أو كليهما.

جودة سياسة الخصوصية والوصول إليها. كل تطبيق يجمع بيانات المستخدم مطلوب قانوناً بموجب GDPR (ساري المفعول من مايو 2018 في أوروبا) و CCPA (ساري المفعول من يناير 2020 في كاليفورنيا) لنشر سياسة خصوصية. رابط سياسة مفقود هو بالفعل انتهاك. لكن سياسة موجودة تقول فقط "قد نشارك بيانانك مع أطراف ثالثة غير محددة لأغراض تجارية" متوافقة تقنياً مع أنها عملياً بلا قيمة. اقرأ الفقرتين الأوليين على الأقل — ستتعلم عادة ما تحتاج إلى معرفته بهذه السرعة.

إفصاحات المشتريات داخل التطبيق التي تظهر فقط بعد التثبيت. إذا كان التطبيق مدرجاً كـ "مجاني" لكن يطالب فوراً برمز اشتراك 49.99 دولار/أسبوع قبل استخدام ميزة واحدة، فهذا نمط مظلم — وفي بعض الحالات، عملية احتيال. تحقق من سطر "المشتريات داخل التطبيق" في قائمة المتجر قبل التحميل.

Google Play مقابل Apple App Store: أيهما أكثر أماناً فعلاً؟

الافتراض الافتراضي هو أن App Store أكثر أماناً بطبيعته لأن Apple تراجع كل إرسال تطبيق يدوياً قبل النشر. هذا الاعتقاد ليس خاطئاً — لكنه ناقص بشكل كبير.

القراءة المضادة للتوقع: مستخدمو iOS يميلون إلى كونهم أقل حذراً في فحص التطبيقات بالضبط لأنهم يثقون بعملية مراجعة Apple. هذه الثقة الخاطئة في المكان تجعلهم هدفاً أنعم لفئة محددة من الهجوم — التطبيقات التي تتصرف بشكل طبيعي لأسابيع أو أشهر بعد الإطلاق، ثم تتلقى تحديث كنفيجة من جانب الخادم ينشط السلوك الضار بمجرد تجاوزهم نافذة المراجعة الأولية. يمكن لمراجعي Apple فقط تقييم ما يفعله التطبيق وقت التقديم.

Google Play Protect، بينما يقوم بفحص مستمر على الجهاز حتى بعد تثبيت التطبيق والموافقة عليه. هذا المراقبة المستمرة فرق معماري مهم في الحماية اليومية، حتى لو كان الحاجز الأولي للنشر على أندرويد أقل بشكل واضح.

لا توجد منصة واحدة ضمان. فهي كبحات سرعة، ليست جدران.

قائمة الفحص السريع قبل التثبيت

شغل هذا قبل تثبيت أي تطبيق سيتعامل مع البيانات الحساسة — الخدمات المصرفية، السجلات الصحية، المراسلة، كلمات المرور، أو أي شيء يتطلب بيانات اعتماد.

1. ابحث عن اسم التطبيق زائد "malware" أو "scam" — ثلاثين ثانية من العناية الواجبة التي يتخطاها معظم الناس تماماً.
2. تحقق من أن اسم المطور يطابق المنظمة التي تتوقعها، تم فحصه خارج المتجر.
3. أكد أن المطور لديه تطبيقات منشورة أخرى وحساب أقدم من بضعة أسابيع.
4. اقرأ قائمة الأذونات قبل الضغط على التحميل — على أندرويد، هذا مرئي في قائمة المتجر تحت "أذونات التطبيق" دون تثبيت أي شيء.
5. امسح تقييمات النجمة الواحدة عن أنماط حول انتهاكات الخصوصية أو الرسوم غير المتوقعة أو مطالبات سرقة البيانات.
6. تحقق من تاريخ "آخر تحديث" — أي شيء متعلق بالأمان لم يتم لمسه لمدة 18+ شهر يحمل مخاطر مرتفعة.
7. اتبع رابط سياسة الخصوصية واقرأ الفقرة الافتتاحية — انظر إذا تم تحميلها، انظر إذا كانت تذكر شركاء البيانات المحددين.
8. دقق في نسبة التحميل إلى التقييم — تطبيق جديد مع 5 ملايين تحميل و 150 تقييم بالتأكيد لديه أرقام مضخمة.
9. لتطبيقات مالية أو صحية: ابدأ من موقع المنظمة الرسمي، وليس من نتائج بحث المتجر.
10. بعد التثبيت، راجع الأذونات في إعدادات نظام جهازك وقم بإلغاء أي شيء لا يخدم وظيفة واضحة — على أندرويد، انتقل إلى الإعدادات → الخصوصية → مدير الأذونات؛ على iOS، الإعدادات → الخصوصية والأمان.

المصادر والمزيد من القراءة

بوابة ذكاء التهديدات من كاسبرسكي — تنشر تقارير التهديدات المحمولة ربع سنوية مع عدد الكشف الفعلي منظم حسب المنصة والجغرافيا وعائلة البرمجيات الخبيثة. المصدر الأساسي لإحصائيات حجم البرمجيات الخبيثة الحالية على أندرويد وبيانات الاتجاهات.

تقرير شفافية متجر Google Play — تفصيل سنوي للتطبيقات المحذوفة من Google Play وأسباب الحذف حسب الفئة وإحصائيات فحص Play Protect الإجمالية. المصدر الأساسي، مباشرة من Google.

دليل أمان منصة Apple — توثيق Apple الخاص عن عملية مراجعة App Store ومتطلبات التصديق وهندسة الأمان على الجهاز. مفيد لفهم بالضبط ما يغطيه فحص Apple عند التقديم مقابل وقت التشغيل.

معلومات المستهلك من FTC (consumer.ftc.gov) — إرشادات عملية عن عمليات احتيال تطبيقات الهاتف الذكي والرسوم الاشتراكية غير المصرح بها وكيفية الإبلاغ عن التطبيقات الاحتيالية. مكتوبة للمستهلكين العامين، وليس الجماهير التقنية.

تقرير Zimperium للتهديدات الجوال العالمية — تحليل صناعة سنوي للتهديدات الخاصة بالهواتف الذكية ومعدلات استهداف التصيد الاحتيالي واتجاهات الثغرات الأمنية عبر iOS و أندرويد. منشورة من قبل شركة أمان جوال، لذا اقرأها مع هذا السياق التجاري في الاعتبار، لكن البيانات الأساسية يتم الاستشهاد بها بشكل ثابت جيداً.