إذا كنت/ي من مستخدمي Shein على هاتفك الذكي والذي يعمل بنظام آندرويد، فقد ترغب في تحديثه إلى أحدث إصدار. اكتشف فريق بحث Microsoft 365 Defender خطأ في الإصدار 7.9.2 من التطبيق الذي تم إصداره في 16 ديسمبر 2021، والذي يقوم بشكل دوري بالتقاط ونقل محتويات الحافظة إلى خادم تابع للشركة. ويمكن أن تشمل هذه المعلومات على بيانات حساسة مثل كلمات المرور وتفاصيل الدفع.
وقد قامت شركة Shein، وهي شركة صينية شهيرة لبيع الملابس، بمعالجة هذه المشكلة في مايو 2022. وتقول الشركة إنه لم يكن هناك نية شريرة وراء هذا السلوك، لكن الوظيفة لم تكن ضرورية لأداء المهام على التطبيق. ومع ذلك، من المهم الإشارة إلى أن تشغيل التطبيق بعد نسخ أي محتوى إلى الحافظة يؤدي تلقائيًا إلى إرسال طلب HTTP POST يحتوي على البيانات إلى الخادم “api-service[.]shein[.]com.”
لمنع مثل هذه المخاطر الخاصة بالخصوصية، قامت Google بتحسينات على نظام Android، بما في ذلك عرض رسائل تنبيه عندما يصل التطبيق إلى الحافظة ومنع التطبيقات من الحصول على البيانات إلا إذا كانت تعمل في الخلفية. ولكن من الضروري أن تكون حذرًا عند استخدام الحافظة، حيث يمكن للمهاجمين استغلالها لجمع ونقل البيانات الحساسة.
الحافظة أو “clipboard” عبارة عن مكان مؤقت يُستخدم لنسخ ولصق النصوص أو الملفات بين تطبيقات الكمبيوتر أو الهواتف الذكية. عند نسخ نص أو ملف إلى الحافظة، يتم حفظه في الذاكرة المؤقتة للجهاز، ويمكن للمستخدم استدعاؤه ولصقه في موقع آخر. ومن المهم الانتباه إلى أن بعض التطبيقات يمكنها الوصول إلى محتوى الحافظة واستخدامه بطرق غير مشروعة.