تخطى إلى المحتوى الرئيسي
شارك

ثغرة FlagLeft في أندرويد تسرب توكنات حسابات Microsoft 365

فريق جلتشمنذ ساعتين0 مشاهدة5 دقائق
شارك
ثغرة FlagLeft في أندرويد تسرب توكنات حسابات Microsoft 365

تسمح ثغرة FlagLeft في تطبيقات Microsoft 365 للأندرويد بسرقة توكنات الحسابات دون تفاعل المستخدم. يجب تحديث التطبيقات فوراً وإلغاء التوكنات النشطة لتأمين الأجهزة.

مقدمة تحليلية

في واحدة من أكثر السقطات البرمجية إحراجاً لعملاق البرمجيات مايكروسوفت، كشفت شركة Enclave المتخصصة في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة أُطلق عليها اسم FlagLeft. تضرب هذه الثغرة البنية التحتية البرمجية لتطبيقات الإنتاجية الأكثر استخداماً على نظام التشغيل أندرويد Android، مهددةً بتسريب بيانات الاعتماد لمليارات المستخدمين حول العالم. تكمن خطورة هذه الثغرة في بساطتها الشديدة وعمق تأثيرها؛ إذ سمح سطر برمجى واحد مخصص لبيئات التطوير والاختبار، تُرِك دون قصد في النسخ الموجهة للعملاء، بتعطيل آليات التحقق الأمني بالكامل. هذا الخطأ الإداري والتقني فتح الباب على مصراعيه أمام أي تطبيق خبيث، مهما كانت صلاحياته محدودة على الهاتف، للوصول الفوري إلى حسابات مايكروسوفت الخاصة بالمستخدمين. تتجاوز هذه الثغرة آليات الحماية التقليدية لنظام أندرويد والمعروفة ببيئة عزل التطبيقات Sandbox. ومن خلال هذا الاختراق الصامت، يمكن للمهاجمين الاستيلاء على بيانات الاعتماد الحيوية وقراءة البريد الإلكتروني وسحب الملفات الحساسة دون إثارة أي شكوك في سجلات الحماية أو إظهار أي إشعارات للمستخدم. يوضح هذا الخلل كيف يمكن لخطأ برمجي بسيط في حزمة تطوير البرمجيات SDK مشتركة أن يؤدي إلى تعريض ملايين الأجهزة والشبكات المؤسساتية لخطر الاختراق الكامل، مما يضع معايير تدقيق الكود البرمجي في مايكروسوفت تحت مجهر النقد التقني الشديد من قبل مجتمع الأمن السيبراني.

التحليل التقني

تتمحور ثغرة FlagLeft حول آلية مشاركة الهوية وتسهيل تسجيل الدخول الموحد Single Sign-On (SSO) بين تطبيقات عائلة مايكروسوفت 365 على نظام أندرويد. في الحالة الطبيعية، عند تسجيل المستخدم الدخول إلى تطبيق مثل Word، يتم تداول توكنات المصادقة مع بقية التطبيقات الشقيقة مثل Excel وOneNote لتوفير تجربة مستخدم سلسة دون الحاجة لإعادة كتابة كلمة المرور في كل مرة. هذه العملية تعتمد على التحقق الدقيق من هوية التطبيق المستدعي عبر تواقيع التشفير الرسمية للتحقق من أنه تطبيق موثوق من مايكروسوفت. ومع ذلك، اكتشف الباحثان يانير تساريمي وأوفيك ليفين من شركة Enclave أن هذا التحقق الأمني الحيوي تم إلغاؤه بالكامل بسبب سطر برمجى واحد في حزمة التطوير المشتركة: setIsDebugMode(true) هذا السطر البرمجي المخصص للتطوير عطل آليات التحقق بالكامل وجعل التطبيقات تفترض أنها تعمل في بيئة اختبار غير آمنة، مما يسمح لأي تطبيق على الهاتف بطلب رموز المصادقة العائلية FOCI (Family of Client IDs) والحصول عليها فوراً. تشمل الجوانب التقنية المفصلة للثغرة ما يلي:
  • رموز FOCI المحسنة: التوكنات المستهدفة هي رموز تحديث عائلية ذات عمر طويل جداً، تتيح للمهاجم تجديد جلسات المصادقة باستمرار والوصول إلى الخدمات السحابية دون إشعار الضحية.
  • تصنيف الضعف الأمني (CWE): تندرج هذه العيوب تحت تصنيف التحكم غير السليم في الوصول (CWE-284)، وتصنف كاختراقات انتحال محلية (Local Spoofing).
  • قائمة التطبيقات المتأثرة: شمل الخلل البرمجي كلاً من تطبيقات Word، وPowerPoint، وExcel، ومساعد الذكاء الاصطناعي Microsoft 365 Copilot، ومنصات العمل الجماعي Microsoft Loop، وOneNote. بينما نجا تطبيق Teams لأن العلم البرمجي تم ضبطه على الحالة false بشكل صحيح.
  • المعرفات الرسمية للثغرات (CVEs): أصدرت مايكروسوفت أربعة معرفات أمنية لمعالجة الأزمة في تحديثات مايو 2026:
    • CVE-2026-41100: خاص بمساعد الذكاء الاصطناعي Copilot على أندرويد، بتقييم خطورة CVSS 4.4.
    • CVE-2026-41101: خاص بتطبيق Word لنظام أندرويد، بتقييم خطورة CVSS 7.1.
    • CVE-2026-41102: خاص بتطبيق PowerPoint لنظام أندرويد، بتقييم خطورة CVSS 7.1.
    • CVE-2026-42832: خاص بتطبيق Excel لنظام أندرويد، بتقييم خطورة CVSS 7.7.
  • الإصدارات المصابة والآمنة: حددت قاعدة البيانات الوطنية للثغرات NVD الإصدارات السابقة للإصدار رقم 16.0.19822.20190 كإصدارات مصابة بالخلل لبرنامج Word، وانسحب هذا التحديد على بقية التطبيقات التي تلقت تحديثاتها عبر متجر Google Play.

السياق وتأثير السوق

تأتي ثغرة FlagLeft لتسلط الضوء على الأخطار الكامنة في البنى التحتية المشتركة لمطوري التطبيقات الكبرى. فبينما يساهم استخدام حزم التطوير المشتركة (Shared SDKs) في تسريع عمليات التطوير وتوحيد الميزات، فإنه يؤدي أيضاً إلى تحويل أي خطأ أمني صغير إلى أزمة واسعة النطاق تعم كامل النظام البيئي للمؤسسة. تاريخياً، تعد ثغرات تسريب التوكنات من أخطر أنواع الهجمات الأمنية، لأنها تسمح للمخترقين بمحاكاة سلوك المستخدم الشرعي بالكامل دون الحاجة إلى اختراق كلمات المرور المعقدة أو كسر آليات التحقق الثنائي (MFA). مقارنة بالمنافسين مثل Google Workspace على أندرويد، والذين يعتمدون على آليات توثيق صارمة ترتبط بنظام التشغيل ذاته بشكل أعمق، فإن اعتماد مايكروسوفت على مكتبة برمجية خاصة بها لمشاركة رموز الوصول عبر قنوات الاتصال بين التطبيقات (IPC) جعلها هدفاً مباشراً لهذا النوع من الأخطاء الإجرائية. لم يُسجل حتى الآن أي استغلال نشط لهذه الثغرة في البرية قبل إطلاق الإصلاحات، ولكن مجرد وجودها في تطبيقات حصدت مليارات التنزيلات يوضح الفجوة الكبيرة بين معايير التطوير الأمني النظرية والممارسات البرمجية الفعلية في خطوط الإنتاج.

رؤية Glitch4Techs

من منظور نقدي دقيق، نرى في Glitch4Techs أن ثغرة FlagLeft تمثل فشلاً ذريعاً في عمليات مراجعة الأكواد البرمجية الآلية (Automated Code Review) وأدوات الفحص الثنائي الثابت (SAST) داخل شركة بحجم مايكروسوفت. كيف يمكن لسطر برمجي صارخ مثل setIsDebugMode(true) أن يمر عبر بيئات التطوير والاختبار، ثم يتجاوز اختبارات قبول الجودة (QA)، وينتهي به الأمر في حزمة إنتاج موجهة لمليارات المستخدمين؟ الإجابة تكمن في الاعتماد المفرط على أتمتة اختبارات الوظائف التشغيلية مع إهمال اختبارات الحالة الأمنية الصارمة قبل النشر. علاوة على ذلك، يجب أن نلفت الانتباه إلى معضلة أمنية حرجة للغاية لم يتنبه لها الكثير من مديري تقنية المعلومات: التحديث البسيط للتطبيقات عبر متجر Google Play يغلق الثغرة البرمجية ويمنع سرقة التوكنات مستقبلاً، ولكنه لا يقوم بإلغاء التوكنات (FOCI Refresh Tokens) التي ربما تم الاستيلاء عليها بالفعل من قبل برمجيات خبيثة كانت متواجدة على الجهاز مسبقاً. لذلك، نوجه في Glitch4Techs توصية صارمة لفرق أمن المعلومات في المؤسسات بإجبار المستخدمين على تسجيل الخروج التام، وإلغاء صلاحية كافة توكنات التحديث النشطة من خلال لوحة تحكم Azure AD / Entra ID، لضمان قطع الطريق نهائياً على أي جلسات مصادقة مخترقة ومستمرة في الخلفية.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.