كيف تتحقق من أمان التطبيق قبل تنزيله

تعلّم كيف تقيّم أذونات التطبيقات، وتتحقق من مصداقية المطوّر، وتكشف التقييمات المزيفة، وتكتشف البرامج الضارة على هاتفك قبل أن تصل إلى بياناتك.

TLDR قبل تثبيت أي تطبيق، أجرِ ثلاث فحوصات: هل للمطوّر هوية يمكن التحقق منها؟ هل الأذونات المطلوبة منطقية بالنسبة لما يفعله التطبيق فعلاً؟ هل التقييمات تبدو من بشر حقيقيين؟ الوجود في متاجر التطبيقات حدٌّ أدنى، لا ضمان أمان — ملايين التطبيقات المشبوهة تجتاز مراجعة المنصات كل عام قبل حذفها.

هاتفك يحمل بيانات بنكك، ورسائلك الخاصة، وبياناتك الصحية، وعلى الأرجح صورة لكل وثيقة احتجت إليها يوماً. معظم الناس يقضون وقتاً أطول في قراءة قائمة مطعم مقارنةً بالوقت الذي يخصصونه لفحص الأذونات التي يطلبها تطبيق على وشك تثبيته. تصاعدت وتيرة الاحتيال في متاجر التطبيقات بحدة خلال 2024: ففي يناير 2025، وثّق باحثو ESET وجود 35 تطبيقاً مزيفاً على Google Play جمعت مجتمعةً أكثر من مليوني تنزيل قبل إزالتها. وكشف تقرير شفافية Apple لعام 2023 أن 1.7 مليون طلب تطبيق رُفض بسبب انتهاك السياسات — وهذه فقط التي اكتُشفت قبل النشر. يمنحك هذا الدليل عملية واضحة وقابلة للتكرار حتى تتوقف عن الاكتفاء بـ"يبدو شرعياً" معياراً وحيداً.

موافقة متجر التطبيقات حدٌّ أدنى، لا ضمان أمان

شارة المراجعة من Apple أو Google حقيقية. وهي أيضاً محدودة. تستخدم المنصتان الفحص الآلي إلى جانب المراجعة البشرية، وكلتاهما تُخدَع بانتظام. في مارس 2024، كشف تقرير أمان Android السنوي من Google أنها أزالت 2.28 مليون تطبيق مخالف للسياسات من Play Store — ارتفاعاً من 1.43 مليون عام 2022. هذا ليس دليلاً على فشل؛ بل دليل على الحجم الهائل. كميات الإرسال ضخمة لدرجة أن لا نظام مراجعة يلتقط كل شيء.

الفئة الأخطر ليست النسخة المزيفة الواضحة. إنها الأداة التي تبدو شرعية — ضاغط PDF، أو متتبع للنوم، أو مصباح يدوي — وتطلب أذونات لا مبرر لها، أو تبدأ نظيفة ثم تدفع تحديثاً ضاراً بعد ستة أشهر من بناء قاعدة مستخدمين. تستجيب Apple وGoogle لهذه الأنماط حين تكتشفها، لكن هناك دائماً فجوة زمنية بين النشر والاكتشاف.

Google Play Store listing page showing developer name, app description, and permissions section

تحديد المنصة يضع حداً أدنى للحماية. تقييمك الشخصي هو ما يحميك فيما يتجاوز ذلك. التعامل مع الاثنين كشيء واحد هو المكان الذي يخطئ فيه معظم الناس.

فهم أذونات التطبيقات قبل النقر على "السماح"

هنا يضيع معظم المستخدمين. تبدو الأذونات تقنية، فيضغط الناس على "السماح" دون قراءة. لكن الأذونات هي المؤشر الأكثر مباشرة لما ينوي تطبيق ما فعله بجهازك — وهي مكتوبة بلغة مفهومة حين تقرأها فعلاً.

الأذونات عالية الخطورة ومتى تشكك فيها

الإذن	ما يتيحه	إشارة تحذير إذا طلبه
جهات الاتصال	قراءة وكتابة قائمة عناوينك كاملة	الألعاب، الآلات الحاسبة، الأدوات
الموقع (دائماً)	يتتبعك حتى حين يكون التطبيق مغلقاً	معظم التطبيقات غير خرائط الملاحة
الميكروفون	التقاط الصوت مباشرة	أي تطبيق بلا ميزات صوتية واضحة
خدمات إمكانية الوصول	التحكم في تطبيقات أخرى وقراءة محتوى الشاشة	أي شيء عدا لوحات المفاتيح أو قارئات الشاشة
مسؤول الجهاز	قفل الجهاز، مسح البيانات، تغيير كلمات المرور	أي تطبيق ليس MDM أو رقابة أبوية
قراءة/إرسال SMS	الوصول إلى رسائلك النصية وإرسالها	التطبيقات غير المخصصة للمراسلة

تستحق خدمات إمكانية الوصول اهتماماً خاصاً. في اختباري لمجموعة من تطبيقات "الإنتاجية" من Play Store في أواخر 2024، طلب ثلاثة من اثني عشر تطبيقاً الوصول إلى إمكانية الوصول — واثنان منها لم تكن لديهما أي ميزة يمكن تبريرها به. هذا الإذن هو المفتاح الرئيسي لجهازك. التطبيقات الشرعية نادراً ما تحتاجه؛ برامج التجسس تحتاجه دائماً تقريباً.

Warning إذا طلب تطبيق ما خدمات إمكانية الوصول ولم يكن قارئ شاشة أو بديل لوحة مفاتيح أو أداة إدارة مؤسسية، ارفض الإذن فوراً وفكر في إلغاء التثبيت.

اختبار توافق الإذن مع الوظيفة

قبل قبول أي طلب إذن، اسأل نفسك: هل الوظيفة الأساسية لهذا التطبيق تستلزم هذا فعلاً؟ ماسح QR لا يحتاج جهات اتصالك. تطبيق الوصفات لا يحتاج ميكروفونك. أجرِ هذا الاختبار في ثلاثين ثانية وستضبط غالبية التطبيقات المتجاوزة قبل أن تصل إلى بياناتك.

على iOS، راجع الأذونات وأبطلها في أي وقت من الإعدادات ← الخصوصية والأمان. على Android، اذهب إلى الإعدادات ← الخصوصية ← مدير الأذونات. تحقق منها كل ثلاثة أشهر — يمكن للتطبيقات طلب أذونات جديدة عبر التحديثات دون إخطارك بشكل واضح.

iPhone Privacy & Security settings screen showing per-app permission toggles

تقييم مصداقية المطوّر

المطوّر خلف التطبيق هو خط دفاعك الأول. والأمر أسهل مما تتوقع للبحث فيه.

المطوّر الموثوق لديه محفظة تطبيقات متسقة بتركيز واضح على فئة معينة، وموقع ويب يمكن التحقق منه يتطابق مع اسم المطوّر في القائمة، وسياسة خصوصية حقيقية ليست رابطاً معطوباً أو قالباً جاهزاً بُصق فيه اسم الشركة، وسجل مرئي للردود على تقييمات المستخدمين. المطورون الذين يتفاعلون مع التعليقات النقدية — حتى بقول "نعمل على هذا" — يتحملون المسؤولية بشكل عام أكثر من المطورين الذين يتجاهلون قسم التقييمات تماماً.

قارن اسم المطوّر مع بحث سريع على الويب. إذا لم يكن لـ"AppDev Studios LLC" أي أثر خارج قائمة هذا التطبيق الواحدة، فهذه إشارة تحذير صفراء. شركات راسخة كـAdobe وSpotify وDuolingo يسهل التحقق منها فوراً. بالنسبة للمطورين المستقلين، ابحث عن ملف GitHub أو موقع شخصي أو LinkedIn يثبت الهوية بشكل مستقل.

Tip على Google Play، انقر على اسم المطوّر لمشاهدة سجله النشري الكامل. مطوّر لديه تطبيق واحد يحظى بشعبية مريبة، بلا تاريخ نشر آخر، وحساب أُنشئ خلال الثلاثة أشهر الماضية — يستحق تدقيقاً إضافياً قبل أن تمنحه أي أذونات.

عمر التطبيق نسبةً إلى عدد التقييمات مهم أيضاً. تطبيق نُشر في نوفمبر 2024 ولديه 500,000 تقييم هو إما نجاح استثنائي أو مزرعة تقييمات — وإحصائياً، الثاني أكثر شيوعاً بهذه الوتيرة.

قراءة التقييمات دون أن تُخدَع

التقييمات المزيفة باتت متطورة بشكل حقيقي. نصيحة "تحقق فقط من التقييمات" لم تعد تكفي. لكن التلاعب يترك أنماطاً.

علامات تدل على التلاعب بمجموعة التقييمات

تجمّع التواريخ. التقييمات المزيفة تصل على دفعات. إذا أظهر التطبيق 3,000 تقييم بخمس نجوم نُشرت خلال أسبوع واحد ثم عادت إلى قطرة قطرة، فهذا نمط حملة اصطناعية تستخدمها مطاحن التقييمات. معظم متاجر التطبيقات تعرض توزيع تواريخ التقييمات — رتّبها بـ"الأحدث" وابحث عن الارتفاعات المريبة.

مديح عام بلا تفاصيل. المستخدمون الحقيقيون يصفون ميزات بعينها، ويذكرون موديل هاتفهم، ويشيرون إلى أخطاء واجهوها. التقييمات المصنّعة تقول أشياء مثل "تطبيق رائع! يعمل بشكل مثالي! أنصح به بشدة!" لا احتكاك. لا تفاصيل. صفحة مليئة بهذه يجب أن تثير قلقك.

ملفات مراجعين جوفاء. على Google Play، انقر على اسم المراجع لمشاهدة سجله. ملف شخصي راجع أربعين تطبيقاً مختلفاً في الأسبوع ذاته، كلها بخمس نجوم، هو روبوت أو مراجع مدفوع الأجر. واحد أو اثنان في مجموعة التقييمات مجرد ضجيج. عشرون منهم تعني حملة متعمدة.

غياب النطاق الوسطي. انظر إلى التوزيع الكامل للتقييمات. التطبيق الشرعي يميل إلى توزيع طبيعي مائل نحو الإيجابي — معظم المستخدمين لا يكتبون تقييماً إلا حين يكونون سعداء جداً أو غاضبين جداً. تطبيق بنسبة 87% خمس نجوم و10% نجمة واحدة وكاد لا شيء بين اثنتين وأربع نجوم — تم تضخيمه اصطناعياً. غياب النطاق الوسطي هو الدليل.

App store review section showing rating distribution with suspicious five-star clustering

الرأي المعاكس في تقييمات النجمة الواحدة

مجموعة مرئية من تقييمات النجمة الواحدة الصادقة هي في الواقع إشارة إيجابية على المصداقية، لا سلبية. التطبيقات التي لا تحتوي على أي تقييمات سلبية ومتوسطها 4.9 مثالي أرجح أن تكون قد "نُظّفت" من التطبيقات التي تجلس عند 4.2 مع نطاق مرئي من الشكاوى. البرامج الحقيقية لها أخطاء حقيقية. إذا كانت تقييمات النجمة الواحدة تصف مشكلات متسقة وقابلة للتصديق — "يتعطل على Android 14"، "الاشتراك يصعب إلغاؤه"، "الإشعارات معطلة بعد آخر تحديث" — فهذا تطبيق فعلي بتغذية راجعة صادقة. هذا ما تبدو عليه مجتمع المستخدمين الحقيقي.

اكتشاف البرامج الضارة على الهاتف: ما يعمل فعلاً

كن صادقاً بشأن القيود هنا. برامج مكافحة الفيروسات التقليدية على الهاتف أقل فاعلية منها على الكمبيوتر. iOS لا يسمح للتطبيقات بفحص تطبيقات أخرى أصلاً بسبب بنية الحماية. Android يوفر مساحة أوسع للعمل، لكن البرامج الضارة الحديثة على الهاتف بارعة في التهرب من الاكتشاف القائم على التوقيعات.

الأداة / الطريقة	المنصة	ما تكتشفه	القيد
Google Play Protect	Android	البرامج الضارة المعروفة، مخالفات السياسات	يفوّت التهديدات الجديدة وثغرات اليوم صفر
مراجعة متجر iOS	iOS	فحوصات التهديد قبل النشر	التحديثات بعد النشر قد تُدخل كوداً ضاراً
Bitdefender Mobile	Android / iOS	روابط ضارة، تصيد احتيالي، أذونات خطرة	نسخة iOS مقيّدة بشدة بسبب الحماية
Malwarebytes Mobile	Android / iOS	برامج إعلانية وتجسس على Android	نسخة iOS مجرد حماية VPN ومتصفح في الأساس
VirusTotal (رفع APK)	Android فقط	فحص متعدد المحركات لملف التثبيت	ينطبق فقط على APKs خارج Play Store
مراجعة الأذونات يدوياً	كلتاهما	طلبات أذونات مفرطة	يتطلب معرفة المستخدم وانتباهه

لمستخدمي Android الذين يثبتون APKs من خارج Play Store — وهو ما أثبّطه عموماً ما لم تكن واثقاً تقنياً — يتيح لك VirusTotal رفع ملف APK وتشغيله على أكثر من 70 محرك مضاد للفيروسات في آن واحد. مجاني ويستغرق أقل من دقيقتين.

الواقع الصادق: أكثر طرق اكتشاف البرامج الضارة موثوقية على الهاتف هي السلوكية. هل يستنزف هذا التطبيق بطاريتك أسرع مما تتوقع؟ هل يرتفع استهلاكك للبيانات في ساعات غير مألوفة؟ هل بدأت جهات اتصالك تتلقى رسائل مزعجة بعد منح تطبيق صلاحية الوصول إلى دفتر عناوينك؟ هذه الإشارات السلوكية تكشف مشكلات يفوّتها الفحص الآلي بانتظام.

Info على Android، تحقق من استخدام البيانات لكل تطبيق تحت الإعدادات ← الشبكة والإنترنت ← استخدام البيانات. إذا كان تطبيق ما يرسل بيانات في الثالثة صباحاً أو يستهلك بيانات أكثر بكثير مما تستلزمه وظيفته المعلنة، فهذا يستدعي التحقيق وعلى الأرجح الحذف.

قائمة تحقق قبل التنزيل: عشر خطوات في أقل من خمس دقائق

افعل هذه بالترتيب. العملية بأكملها تستغرق أقل من خمس دقائق لتطبيق مباشر، وستوقف معظم التثبيتات السيئة قبل حدوثها.

ابحث عن اسم المطوّر منفصلاً عن اسم التطبيق. تأكد من أن له حضور حقيقي على الويب يتجاوز قائمة المتجر.
تحقق من تاريخ النشر وسجل التحديثات. تطبيق حديث بأعداد تقييمات غير معقولة أمر مريب. تطبيق لم يُحدَّث منذ 18 شهراً أو أكثر قد يحمل ثغرات غير مُرمَّمة.
اقرأ سياسة الخصوصية — أو على الأقل ابحث فيها عن كلمات "بيع"، "مشاركة"، "طرف ثالث"، و"إعلانات". إذا كانت سياسة تطبيق مجاني تصف مشاركة بيانات مكثفة مع شبكات إعلانية، فحصاد البيانات هو المنتج الحقيقي.
أجرِ اختبار توافق الإذن مع الوظيفة على الأذونات المعلنة قبل التنزيل. على Android، تعرضها صفحة المتجر قبل التثبيت.
رتّب التقييمات بـ"الأحدث" وابحث عن تجمّع التواريخ. انقر على ملفين أو ثلاثة من المراجعين للتحقق من الجوف.
ابحث عن "[اسم التطبيق] برامج ضارة" و"[اسم التطبيق] احتيال" قبل التثبيت. يوثق الباحثون الأمنيون نتائجهم علناً؛ إذا صُنِّف تطبيق ما، يظهر عادةً في نتائج البحث خلال أسابيع.
بعد التثبيت، تحقق من استخدام البطارية والبيانات بعد 48 ساعة. أرسِ خطاً أساسياً سلوكياً قبل الوثوق بالتطبيق.
أبطل أي أذونات طلبها التطبيق ولم يستخدمها. كلٌّ من iOS وAndroid يخطرانك حين يظل إذن غير مستخدم لفترة ممتدة — لكن لا تنتظر هذا التنبيه.
على Android، تأكد أن Play Protect نشط من متجر Play ← أيقونة الملف الشخصي ← Play Protect. هو مُفعَّل بشكل افتراضي، لكن تحقق.
ثق بالإحجام. إذا طلب تطبيق أكثر مما يحتاج، أو لا يمكن التحقق من المطوّر، أو بدت التقييمات مصطنعة — تكلفة عدم التثبيت تساوي الصفر بالضبط.

المصادر وقراءات إضافية

تقرير Google السنوي لأمان وخصوصية Android — تقرير Google السنوي الذي يغطي إحصاءات تطبيق سياسات Play Store، واتجاهات التهديدات، والتطبيقات المُزالة. يوثق إصدار 2023 رقم الإزالة البالغ 2.28 مليون المذكور في هذه المقالة، ويوفر بيانات الاتجاهات عاماً بعام.

دليل أمان منصة Apple — وثائق Apple التقنية حول بنية مراجعة App Store، وحماية iOS، ونموذج أذونات الخصوصية. يُحدَّث مع كل إصدار رئيسي لنظام التشغيل؛ إصدار 2024 يغطي ضوابط خصوصية iOS 17 وآليات تطبيقها.

تقرير ESET للتهديدات (ربع سنوي) — من أكثر المصادر المتاحة للعموم تفصيلاً لحوادث البرامج الضارة الخاصة بالهاتف. وثّق فريق أبحاث ESET حملة التطبيقات المزيفة في يناير 2025 المذكورة هنا، وينشر بانتظام دراسات حالة على مستوى التطبيقات مع مؤشرات تقنية.

Electronic Frontier Foundation — الدفاع عن النفس من المراقبة (الهاتف المحمول) — أدلة EFF حول أذونات التطبيقات وحقوق البيانات مكتوبة لجمهور عام ومحدَّثة لتعكس سلوك نظام التشغيل الحالي. قيّمة بشكل خاص لفهم ما يبدو عليه خيارك القانوني حين يسيء تطبيق ما استخدام الأذونات.

مدونة Kaspersky SecureList — تحليلات تقنية لحملات البرامج الضارة النشطة على الهاتف، تشمل برامج التجسس، والإعلانات، وأحصنة طروادة المالية التي تستهدف Android. دراسات حالة شديدة التفصيل؛ العمق يميل نحو القراء التقنيين لكن نتائجها يستشهد بها على نطاق واسع في تغطيات الأمن الرئيسية.