غوغل كتوسع Binary Transparency لتطبيقات الأندرويد، وكتصاوب سجل عام للإصدارات المعتمدة

خلاصة: أعلنات غوغل على التوسيع ديال نظام Binary Transparency لنظام Android، حيت غتفرض على كاع تطبيقات غوغل الأساسية (production) اللي غتخرج من بعد 1 ماي 2026 تكون عندها إدخالات تشفيرية (cryptographic entries) فواحد السجل العام (ledger). هاد المبادرة كتهدف لاكتشاف هجمات سلسلة التزويد (supply chain attacks) فين كيتم دمج كود خبيث فالسوفتوير وخا كيبقاو التوقيعات الرقمية (digital signatures) صحيحة. غوغل غادي تطلق أدوات ديال التحقق للمستخدمين وكل باحث أمني باش يتأكدو من مصداقية التطبيقات مقارنة مع هاد السجل.

شنو واقع

غوغل وسعات نظام Binary Transparency ديالها من أجهزة Pixel للنظام البيئي الواسع ديال Android. الشركة دخلات Pixel Binary Transparency لأول مرة فشهر أكتوبر 2021 كطريقة باش تضمن أن أجهزة Pixel كتخدم غير بنظام التشغيل اللي موثوق بيه ومحقق منو، وهادشي من خلال الحفاظ على سجل عام ومشفر للصور الرسمية ديال المصنع (factory images).

هاد المبادرة الجديدة ديال Android كتطبق نفس المبدأ على تطبيقات الإنتاج ديال غوغل. ابتداءً من 1 ماي 2026، أي تطبيق إنتاج (production app) ديال غوغل—بما فيها Google Play Services، تطبيقات غوغل المستقلة، ووحدات Mainline—غادي يكون عندو إدخال تشفيري (cryptographic entry) مطابق فواحد السجل العام (ledger). هاد الإدخال كيخدم كدليل قاطع على أن التطبيق هو بالضبط داكشي اللي غوغل قصدات تصاوبو وتوزعو.

غوغل كتشوف أن Binary Transparency شي حاجة اللي مختالفة على التوقيعات الرقمية بوحدها. التوقيع الرقمي كيثبت المصدر (يعني أن غوغل هي اللي بِيْلْدَات السوفتوير)، ولكن ماكيضمنش النية (يعني واش غوغل فعلاً قصدات تخرج هاديك النسخة المحددة للمستخدمين). اختراق ديال شي حساب مطور أو سلسلة التزويد يقدر ينتج لينا binary مْسِيني بطريقة صحيحة ولكن غير مصرح بيه. نظام Binary Transparency كيصاوب سجل عام دائم، كيتزاد فيه غير الجديد (append-only)، وكيرد دغيا هاد الإصدارات اللي غير مصرح بيها ساهلة فالاكتشاف.

هاد المفهوم كيشبه لـ Certificate Transparency، اللي هو إطار عمل معروف كيفرض على كاع شهادات SSL/TLS باش تتسجل فسجلات عامة وتشفيرية قابلة للتحقق، وهادشي باش يتشدو الشهادات اللي تعطاو بالغلط أو الخبيثة.

علاش هادشي مهم

هجمات سلسلة التزويد ولات كتركز على اختراق قنوات التوزيع ديال السوفتوير براسها بلاصة ما تستهدف البنية التحتية. الحوادث الأخيرة، بحال الاختراق ديال الـ installers فـ Windows ديال برنامج DAEMON Tools، كاتبين هاد التهديد: كيتزاد كود خبيث فسوفتوير شرعي، وكيتوزع من السيت الرسمي، وكيتسنى بشهادات مطور صحيحة. المستخدمين اللي تيليشارجاو الـ binary المخترق كيوصلهم حمولة (payload) خبيثة ولكن بـ signature صحيح.

بالنسبة للمطورين ومدراء الأنظمة (system administrators) فالمنطقة ديالنا، هادشي مهم بزايف حيت:

• الاكتشاف كيولي إلزامي. إلا كان شي تطبيق ديال غوغل ماكاينش فسجل الشفافية، راه ماشي إصدار معتمد، وخا يكون الـ signature ديالو صحيح. أي نسخة غير مصرح بيها غتولي قابلة للاكتشاف فالبلاصة.
• الاستجابة للحوادث كتولي عندها مصدر للحقيقة. محللين الـ SOC يقدرو دابا يقلبو فالسجل العام (query) باش يتأكدو واش شي نسخة محددة ديال تطبيق غوغل فجهاز ديال شي مستخدم راه خرجاتها غوغل بطريقة شرعية.
• التكلفة ديال هجمات سلسلة التزويد كتزاد. أي مهاجم ماغاديش يحتاج غير يخترق حساب مطور أو نظام الميك (build system)، ولكن خاصو حتى يدمج إدخال مزور فالسجل العام—وهادشي كيتعتبر عائق أكبر بزايف من مجرد توقيع binary.

الأنظمة المتأثرة و CVEs

المنتجات المشمولة:

• Google Play Services
• تطبيقات غوغل المستقلة (Standalone Google applications)
• وحدات Mainline (مكونات ديال الـ OS اللي كتتحدث ديناميكيا)
• أجهزة Pixel (لي ديجا مغطية بـ Pixel Binary Transparency القديمة)

ماكاين حتى CVE مخصص وقت نشر هاد الخبر.

شنو خاص يدار

• راقبو الموعد النهائي ديال 1 ماي 2026 وبداو ديرو الـ deployment لتطبيقات غوغل اللي غتخرج من بعد هاد التاريخ باش تضمنو باللي راه مشمولة بالتغطية ديال سجل الشفافية.
• ملي تولي متوفرة، استعملو أدوات التحقق (verification tooling) ديال غوغل باش ديرو تدقيق (audit) لحالة الشفافية ديال سوفتوير Android المدعوم فالبيئة ديالكم.
• ديرو استعلام (query) فالسجل العام باش تتأكدو باللي تطبيقات الإنتاج ديال غوغل فالأجهزة المدارة (managed devices) عندها إدخالات تشفيرية مقابلة، وتعاملوا مع أي إدخالات ناقصة كإشارة على وجود اختراق محتمل أو خطأ فالتكوين (misconfiguration).
• قادو إجراءات باش تفحصو السجل كجزء من مسارات العمل (workflows) ديال الاستجابة للحوادث ملي تبغيو تتأكدو من المصداقية ديال النسخ اللي عندكم من تطبيقات غوغل.

أسئلة مفتوحة

• التطبيق والوصول: المصدر ماكيحددش الواجهة التقنية (technical interface) باش غادي يتم الوصول للسجل، كيفاش غادي توزع أدوات التحقق، أو شنو هي الصيغة (format) اللي غيخدم بيها هاد السجل. التفاصيل على الـ authentication ديال المستخدمين أو حدود الطلبات (rate limits) ماكايناش.
• النطاق من غير تطبيقات غوغل: مامعروفش واش هاد الإطار غيطبق مستقبلا على تطبيقات ماشي ديال غوغل فـ Android أو واش غيبقى محدود فقط فالسوفتوير ديال غوغل براسها.
• التغطية بأثر رجعي: ماكاين حتى جدول زمني كيحدد واش هاد إدخالات الشفافية غادي تطبق حتى على تطبيقات غوغل اللي خرجات قبل من التارخ ديال 1 ماي 2026.
• القدرات ديال أدوات التحقق: المصدر ماكيشرحش شنو هي الميزات اللي غتوفرها أدوات التحقق، واش غتكون أوتوماتيكية، ولا غتحتاج استعلامات يدوية من طرف المستخدمين.

Source

Google's Android Apps Get Public Verification to Stop Supply Chain Attacks