خطير: إضافة الحماية الشهيرة WOT لم تعد تحمي أحداً

تعد إضافات المتصفحات من الوسائل المساعدة في تيسير وتسهيل تصفح الأنترنت وفي بعض الأحيان قد تجعل المستخدم لا يغادر نافذة متصفحه، إذ تقدم له أغلب الخدمات التي تتوفر عليها البرامج المكتبية الأخرى، وتوازيا مع ذلك، تمتلك هذه الأخيرة من الصلاحيات ما قد يشكل خطر حقيقي على بيانات التصفح، بل تتعداها لتصل لبيانات الحاسوب ولما لا كل صغيرة وكبيرة تقوم بها في العالم الرقمي.

WOT Web Of Trust

إذا كنت لم تسمع عن خدمات WOT، فهي خدمات تم إنشاؤها من خلال نظم PGP للتشفير و GnuPG للبرامج الحماية المجانية البديلة عن برامج سيمانتيك و OpenPGP لتشفير الرسائل، كان بداية إطلاقها في عام 1992 و قد أطلقها مبتكر PGP "فيل زيمرمان" و كانت مبنية من إصدار PGP 2.0.

حين أطلقت WOT استخدمت لتشفير الرسائل و كذلك في فحص المواقع إن كانت آمنة أم لا، ثم أطلقت إضافتها على المتصفحات و نالت شهرة كبيرة للغاية نظراً لما توفره إضافتها من خدمات، إذ لا تأتيك فقط عن حقيقة سلامة الموقع بل هي تحدد أيضا عيوبه و مزاياه من خلال الاستفتاء و التقييمات للمستخدمين و كتابة تعليقاتهم و آرائهم، و قد حصلت WOT على نسبة كبيرة من المستخدمين لدرجة يمكننا القول إنه ما من مستخدم ويب مهتم لخصوصياته لا يعرف WOT أبداً، و تطور الأمر حين بدأت WOT و من خلال إضافتها أيضا بتوفير خدمة تأمين البطاقات الائتمانية عند الشراء من الإنترنت و أطلقت أيضا تطبيق خاص بها على الهواتف الذكية.

التحول الخطير الذي سيقضي على WOT

مزايا WOT جميلة و مفيدة و لكن للأسف فمنذ إطلاق خدمتها لتأمين البطاقات، ظهرت شائعة تشير بأن WOT ستغير أو ربما غيرت سياسة الخصوصية التي لديها سلفاً، فالمعروف لكي تتمكن من التقييم و الاستفادة من خدمات WOT فأنه يتوجب عليك تسجيل الدخول إلى WOT.

لكن و قبل أسبوع، نشر صحفيون تقرير استقصائي على الإذاعة التلفزيونية الألمانية NDR تم الكشف من خلاله عن قيام إضافة WOT (اختصاراً لجملة "Web of Trust") المشهورة على نطاق ضخم ببيع بيانات المستخدمين، بما فيها بيانات زيارة المواقع "browsing history"، إضافة لبيانات أخرى حساسة كالمعاملات المالية وهويات المستخدمين.

وفي رد أولي لشركة WOT، أكدت أن بيانات المستخدمين التي باعتها مجهولة ولا تحدد هوية المستخدمين، لكن سرعان ما تم تكذيب ادعاءات الشركة بتمكن الصحفيين من تحديد هوية  50 مستخدم من البيانات المباعة والتي حصلوا عليها من وسطائهم.

وفي تصريح لفايرفوكس على صحيفة The Register، أكدت سحبها التام للإضافة بعد استلام العديد من الشكاوي وبتحليل دقيق لعمل الإضافة، تبين أنها لا توافق شروط متجر فايرفوكس، وأشارت أن متجرها لن يقبل الإضافة إلا بعد تحيينها ووقف تتبع نشاطات المستخدمين. 

وفي نفس السياق حذفت كل من غوغل، أوبرا، سفاري، أنترنت إكسبلورر إضافة WOT على متاجرهم، لكن المستخدمين الحاليين للتطبيق يتعين عليهم حذف الإضافة يدويا إلى حين صدور تحديث جديد لها.

بعد تحليل لشيفرة الإضافة من طرف الباحث Rob Wu وطرحه على موقع github، تبين أن هناك وظيفة إضافية تمكن من تنفيذ تعليمات برمجية عشوائية على أي صفحة، بما في ذلك سحب تسجيلات وتاريخ زيارة المواقع، قد تكون هي السبب في عدم حماية هوية المستخدم أثناء تداول البيانات.

وفي بلاغ حديث عقب الضجة التي أثارها التحقيق، أكدت WOT عن سعيها الدائم في الحفاظ على بيانات المستخدمين مجهولة، فبعد دراسة معمقة للأمر تبين أن تقنيات الحفاظ على هويات المستخدم غير كافية لذا قررت الإضافة أن تسحب خدمتها من متاجر المتصفحات الحالية إلى حين صدور تحديث جديد، يشمل خاصية تبادل البيانات وقابلية الموافقة على الأمر، مع تعزيز حماية هوية المستخدم بالنسبة للبيانات التي تسجلها على المتصفحات حيث تعد هذه السمة من بين السمات الرئيسية التي تشتغل عليها الإضافة.

لكن على فرض أن ذلك مسموح، فمعظم المستخدمين امتعضوا كثيراً بسبب خبر بيع البيانات، مما يدل على أن رسالتها لتذكير بتغيير الخصوصية – هذا إذا أطلقتها – لم تصل لأحد أبداً، و هذا يدل على أن التغيير حصل من وراء ظهور مستخدميها و من دون موافقة، و يدل على أن ما تقوله WOT أن ما جرى من كشف بيانات المستخدم و عدم تشفيرها ليس خللاً تقنيا من إصدار إضافتها بل هي عن عمد خصوصاً إنه بحسب ما وجدوه من حللوا الإضافة بأنها قد تتسبب بإضعاف الحماية، و حتى لو احتاجت فما حاجتها إلى كل هذه البيانات؟.

يذكر أن WOT لا تجبر المستخدم بملء جميع بياناته في صفحة المعلومات الخصة به مما قد يعطي فكرة إن ما قيل لا يبدو صحيحاً لكن يكفي وجود الإضافة مع هذه التعليمات البرمجية السيئة فأنها لن تحتاج أن تطلب من المستخدم أن يملأ بياناته.

و على فرض إن المستخدم لم يسجل دخول في الخدمة و ليس لديه بطاقات ائتمانية، يكفي ما تسحبه WOT من متصفحه من سجل المتصفح و نقراته و طبعا بكل تأكيد معلومات عن جلساته.

الخلاصة، أنه إذا كنت من مستخدمي الإضافة عليك إزالتها فوراً، و لا تتوقع أن تقوم بإضافتها بعد تحديثها و إن في وقت قريب، فوجود أسطر برمجية كهذه ليست خللاً، كما أن WOT كسرت شهادة الثقة التي نالتها من الجهات.