وسائل التواصل الاجتماعي قد تجبر الباحثين على الانفتاح

أعلنت مجموعة من أعضاء مجلس الشيوخ الأمريكي من الحزبين الجمهوري والديمقراطي عن مشروع قانون جديد يطالب منصات التواصل الاجتماعي بمشاركة بيانات المنصة مع باحثين مستقلين.

وتم الإعلان عن مشروع القانون من قبل أعضاء مجلس الشيوخ الديمقراطيين كريس كونز وآمي كلوبوشار، وكذلك الجمهوري روب بورتمان.

ويأتي مشروع القانون باسم قانون المساءلة والشفافية PATA. ويضع مشروع القانون قواعد جديدة تلزم منصات التواصل الاجتماعي بمشاركة البيانات مع الباحثين المؤهلين.

ويعرف هؤلاء الباحثين بأنهم باحثون تابعون للجامعة يتابعون مشاريع تمت الموافقة عليها من قبل مؤسسة العلوم الوطنية.

وبموجب شروط مشروع قانون، تلتزم المنصات بالامتثال لطلبات البيانات بمجرد الموافقة على البحث من قبل مؤسسة العلوم الوطنية.

اقرأ أيضاً: تويتر.. نافذة تطل على العالم!

ويؤدي عدم تقديم البيانات إلى مشروع مؤهل إلى فقدان المنصة للحصانات التي يوفرها القسم 230 من قانون آداب الاتصالات.

وقالت لورا إديلسون، باحثة رئيسية في مشروع الأمن السيبراني للديمقراطية بجامعة نيويورك: مشروع قانون PATA يمثل اقتراحًا شاملًا لشفافية المنصة. إذا تم تمرير هذا التشريع، فإنه يوفر مسارًا حقيقيًا للباحثين لفهم الأضرار عبر الإنترنت بشكل أفضل والبدء في التوصل إلى حلول.

وفي وقت سابق من هذا العام، تم حظر إديلسون وغيرها من الباحثين في مشروع مرصد الإعلانات بجامعة نيويورك من قبل شركة فيس بوك بعد أن زعمت الشركة أن أبحاثهم انتهكت شروط الخدمة.

ويمثل مشروع قانون PATA الأحدث في سلسلة طويلة من التشريعات المقترحة التي تهدف إلى فتح الصندوق الأسود لخوارزميات وسائل التواصل الاجتماعي.

وطالب مشروع قانون لعام 2019 بأن تمنح منصات الإنترنت المستخدمين خيار التعامل مع المنصة. وذلك دون أن يتم التلاعب به بواسطة خوارزميات مدفوعة ببيانات خاصة بالمستخدم.

بينما اقترح مشروع قانون مساءلة المنصة وشفافية المستهلك PACT في عام 2020 تعديلات على القسم 230. وذلك كوسيلة لجعل المنصات أكثر عرضة للمساءلة عن قرارات الإشراف على المحتوى.

الصندوق الأسود لخوارزميات منصات التواصل الاجتماعي

لم يتم تمرير أي من هذين المشروعين. ولكن يأتي مشروع القانون الأحدث في لحظة تخضع فيها شركات وسائل التواصل الاجتماعي بشكل عام، وفيس بوك بشكل خاص، لمزيد من التدقيق في أعقاب شهادة فرانسيس هوجين.

اقرأ أيضاً: يوتيوب.. إيجابياته وسلبياته على المجتمع!

وكشفت الوثائق التي سربتها هوجين عن تفاصيل واسعة حول الأعمال الداخلية للشركة، وكانت بعض المواد الأكثر ضررًا هي الأبحاث التي تظهر أن منتجاتها يمكن أن تكون ضارة للأطفال والمراهقين.

وفي وقت سابق من هذا الأسبوع، مثل رئيس إنستغرام، آدم موسيري، أمام لجنة فرعية تجارية بمجلس الشيوخ. وأجاب على أسئلة حول ما إذا كان تطبيق مشاركة الصور ضارًا بالصحة العقلية للمستخدمين الشباب.

وفي تلك الجلسة، أعرب أعضاء مجلس الشيوخ عن إحباط عميق إزاء النقص الملحوظ في اتخاذ إجراءات بشأن قضايا السلامة الطويلة الأمد من إنستاجرام والشركة الأم ميتا.

اقرأ أيضاً: ميتا تشجع الباحثين على فحص بعض منتجات أجهزتها

أعلنت شركة ميتا عن إضافة تحديثات إلى برنامجها لمكافآت الأخطاء للمنتجات من قسمها لتقنية ميتافيرس Reality Labs.

ويشمل ذلك Quest 2 و Quest و Portal TV و +Portal و Portal Go و Portal Mini و Portal و Ray-Ban Stories، حسبما أعلنت الشركة الأم لشركة فيس بوك.

ووفقًا لبيان صحفي، يلعب هذا الجهد دورًا مهمًا في رحلتها للمساعدة في بناء ميتافيرس. وأكد البيان الصحفي أن عمليات إرسال أخطاء Ray-Ban Stories التي تم التحقق منها مؤهلة للحصول على جوائز.

اقرأ أيضاً: فيس بوك.. التطبيق الأكثر تأثيراً واستخداماً

وتأمل الشركة أن تحفز هذه الجوائز المزيد من الباحثين على تحليل النظارات وأجهزتها الأخرى. ويبلغ الحد الأدنى لمكافأة اكتشاف الخطأ هو 500 دولار، وتزيد المبالغ اعتمادًا على الجهاز والتأثير المحتمل للخلل المكتشف.

ويصل أكبر عائد تم إدراجه إلى 30 ألف دولار لاستمرار تجاوز الإقلاع الآمن الكامل. ولكن يمكن أن يرتفع حتى وفقًا لتقدير الشركة، للأخطاء التي قد تؤدي إلى مخاطر الصحة أو السلامة أو الخصوصية.

وقدمت ميتا قائمة بالأخطاء الافتراضية وما يمكن أن تبدو عليه المدفوعات. وقالت: قد تتلقى المشكلة التي تسمح لتطبيق ضار تابع لجهة خارجية بضخ محتوى يتم استهلاكه بعد ذلك بواسطة أحد تطبيقاتنا عائدًا يصل إلى 1000 دولار تقريبًا أو ما يعادله بالعملة المحلية في إطار المشكلات التي تسببها تطبيقات الطرف الخارجي التي يحتمل أن تكون ضارة.

ويحصل تطبيق جهة خارجية – الذي يحصل على إمكانية الوصول إلى الميكروفون دون طلبه عبر جهاز Quest – على عائد قدره 5000 دولار ضمن الوصول غير المصرح به إلى الميكروفون بواسطة تطبيق تابع لجهة خارجية.

ميتا أضافت بعض منتجات الأجهزة إلى برنامج مكافآت الأخطاء

بينما يحصل تطبيق جهة خارجية عبر Quest قادر على تعطيل أو إيقاف الحماية على تعويضات بقيمة 3000 دولار بموجب DoS.

كما يحصل الباحث على تعويض قدره 16000 دولار مقابل اكتشاف تنفيذ التعليمات البرمجية عن بعد من خلال تجاوز سعة المخزن المؤقت في مكتبة الدردشة الصوتية Quest والحصول على التنفيذ في تطبيق ذي امتياز.

اقرأ أيضاً: إنستغرام.. المدونة اليومية للمجتمع

وأنشأت الشركة برنامج مكافآت الأخطاء لأول مرة في عام 2011. وتقول إنه لعب دورًا أساسيًا في مساعدتها في العثور على الأخطاء وإصلاحها، حيث تم دفع ما يقرب من مليوني دولار من الجوائز للباحثين الأمنيين في العام الماضي وحده، وذلك وفقًا لتدوينة من مدير هندسة الأمن في الشركة، دان جورفينكل.

ويمكن العثور على القائمة الكاملة للدفع والإرشادات. وتصف هذه الإرشادات كيفية تقييم الشركة لتأثير عمليات إرسال الأخطاء للأجهزة من Reality Labs وتحديد مبالغ المكافآت. وتركز هذه الإرشادات على أجهزة معينة وتشارك في كيفية تحديد المدفوعات لفئات معينة من نقاط الضعف.

اقرأ أيضاً: الملايين من الخوادم في خطر بسبب ثغرة Log4Shell

تتدافع فرق الأمن في الشركات الكبيرة والصغيرة لإصلاح ثغرة غير معروفة من قبل تسمى Log4Shell، التي لديها القدرة على السماح للمتسللين باختراق ملايين الأجهزة عبر الإنترنت.

وإذا تم استغلال الثغرة الأمنية، فإنها تسمح بتنفيذ التعليمات البرمجية عن بعد على الخوادم المعرضة للخطر، مما يمنح المهاجم القدرة على استيراد برامج ضارة من شأنها أن تعرض الأجهزة للخطر.

وتم العثور على الثغرة الأمنية في log4j، مكتبة تسجيل مفتوحة المصدر تستخدمها التطبيقات والخدمات عبر الإنترنت.

اقرأ أيضاً: كيف توثق حسابك على تيليجرام؟

ويعد التسجيل عبارة عن عملية تحتفظ فيها التطبيقات بقائمة جارية للأنشطة التي قامت بها التي يمكن مراجعتها لاحقًا في حالة حدوث خطأ.

ويدير كل نظام أمان للشبكات تقريبًا نوعًا من عمليات التسجيل، مما يمنح المكتبات الشائعة مثل log4j وصولاً هائلاً.

وأشار ماركوس هتشينز، الباحث الأمني ​​البارز المعروف بوقف هجوم البرامج الضارة WannaCry العالمي، عبر الإنترنت إلى أن ملايين التطبيقات تتأثر.

زقال هتشينز في تغريدة: تستخدم ملايين التطبيقات Log4j للتسجيل، وكل ما يحتاجه المهاجم هو جعل التطبيق يسجل سلسلة خاصة.

وشوهدت الثغرة لأول مرة عبر المواقع التي تستضيف خوادم ماين كرافت. ويمكن للمهاجمين تشغيل الثغرة الأمنية من خلال نشر رسائل الدردشة.

وذكرت تغريدة من شركة التحليل الأمني ​​GreyNoise أنها اكتشفت العديد من الخوادم التي تبحث في الإنترنت عن أجهزة عرضة للاستغلال.

وقالت تدوينة من شركة أمان التطبيقات LunaSec: العديد من الخدمات عرضة لهذا الاستغلال. تم اكتشاف أن الخدمات السحابية مثل Steam و iCloud معرضة للخطر.

اقرأ أيضاً: أفضل طريقة لتشغيل واتس آب ويب على اللابتوب!

ولاستغلال الثغرة الأمنية، يجب على المهاجم أن يتسبب في قيام التطبيق بحفظ سلسلة خاصة من الأحرف في السجل.

ونظرًا لأن التطبيقات تقوم بشكل روتيني بتسجيل مجموعة كبيرة من الأحداث، فإنه من السهل استغلال الثغرة الأمنية. كما يمكن تشغيلها بعدة طرق.

ثغرة Log4Shell تمنح طريقة لتنفيذ التعليمات البرمجية

قال كبير مسؤولي التكنولوجيا في Cloudflare: هذه مشكلة خطيرة جدًا بسبب الاستخدام الواسع النطاق لجافا وهذه الحزمة log4j. هناك قدر هائل من برامج جافا المتصلة بالإنترنت والأنظمة الخلفية.

وأضاف: هناك استغلان بنفس الشدة ظهرا على مدى السنوات العشر الماضية يتمثلان في Heartbleed و Shellshock.

وسمحت الاستغلال الأول بالحصول على معلومات من الخوادم التي كان ينبغي أن تكون آمنة. بينما سمح الاستغلال الثاني بتشغيل التعليمات البرمجية عبر جهاز بعيد.

ومع ذلك، فإن تنوع التطبيقات المعرضة للاستغلال، ونطاق آليات التسليم الممكنة، يعني أن حماية جدار الحماية وحدها لا تقضي على المخاطر.

ومن الناحية النظرية، يمكن تنفيذ الاستغلال عن طريق إخفاء سلسلة الهجوم في رمز QR الذي تم مسحه ضوئيًا من قبل شركة توصيل الطرود. ويعني ذلك أن الثغرة تشق طريقها إلى النظام دون إرسالها مباشرة عبر الإنترنت.

وتم إصدار تحديث لمكتبة log4j للتخفيف من المشكلة الأمنية. ولكن بالنظر إلى الوقت المستغرق لضمان تحديث جميع الأجهزة المعرضة للخطر، تظل Log4Shell تمثل تهديدًا ملحًا.

شاهد أيضاً: رحلات افتراضية حول العالم

المصدر: البوابة التقنية