تدقيق أمان التطبيقات المحمولة: ما مدى أمان التطبيقات الأكثر تحميلاً في الجزائر؟

نُشر في مارس 21, 2026 · آخر تحديث مارس 22, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

يعهد ملايين الجزائريين كل يوم ببياناتهم الحساسة إلى هواتفهم — التحويلات المصرفية عبر BaridiMob، وحجوزات النقل عبر Yassir، وإعادة شحن الرصيد عبر تطبيقات شركات الاتصالات. لكن ما مدى أمان التطبيقات التي تتعامل مع هذه البيانات؟ في سوق تتوسع فيه الخدمات الرقمية بوتيرة أسرع من قدرة ممارسات الأمان على مواكبتها، تتسع الفجوة بين ثقة المستخدمين والأمان الفعلي للتطبيقات بشكل مثير للقلق.

خلاصة: على فرق التطوير في بريد الجزائر وDjezzy وMobilis والبنوك الكبرى تكليف عمليات تدقيق OWASP MASVS لتطبيقاتها قيد الإنتاج خلال 60 يوماً. على ARPCE إنشاء برنامج شهادة أمن التطبيقات المحمولة على غرار CSPN الفرنسي من ANSSI. على الشركات الناشئة الجزائرية في الأمن السيبراني بناء خدمات اختبار اختراق التطبيقات المحمولة — الطلب من أكثر من 150 خدمة حكومية رقمية يبرر الاستثمار وحده.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الصلة بالجزائر
عالية
▾

54.8 مليون اتصال محمول، أكثر من 10 ملايين مستخدم BaridiMob، لا توجد معايير إلزامية لأمان التطبيقات

الجدول الزمني للعمل
فوري
▾

أكثر من 70 مليون هجوم سيبراني مسجل في 2024؛ يوجد إطار تنظيمي لكنه يفتقر إلى تفويضات خاصة بالهواتف المحمولة

أصحاب المصلحة الرئيسيون
مطورو التطبيقات، المديرون التقنيون، مسؤولو أمن

نوع القرار
استراتيجي
▾

يقدم هذا المقال توجيهات استراتيجية للتخطيط طويل المدى وتخصيص الموارد.

مستوى الأولوية
حرج
▾

هذه أولوية حرجة تتطلب اهتماماً فورياً وتخصيص موارد.

خلاصة: تتعامل التطبيقات الأكثر شعبية في الجزائر مع البيانات المالية والشخصية لملايين المستخدمين لكنها لا تخضع تقريباً لأي رقابة أمنية إلزامية. يجب على المطورين اعتماد معايير OWASP لأمان الهواتف المحمولة فوراً وتطبيق تثبيت الشهادات والتخزين المشفر وأمان API المناسب. مع تعزيز إطار الأمن السيبراني بموجب المرسومين 25-321 و26-07، ينبغي على المنظمين الآن توسيع هذه الجهود لإنشاء اعتماد وطني لأمان التطبيقات المحمولة قبل أن يُقوّض اختراق كبير ثقة الجمهور في الاقتصاد الرقمي الجزائري.

يفحص هذا المقال الوضع الأمني لأكثر التطبيقات المحمولة تحميلاً في الجزائر باستخدام إطار عمل OWASP Mobile Top 10، ويحدد الثغرات الشائعة ويقدم إرشادات عملية لكل من المطورين والمستخدمين.

طفرة التطبيقات المحمولة في الجزائر — والدين الأمني الذي تحمله

شهد النظام البيئي للهواتف المحمولة في الجزائر تحولاً جذرياً. وفقاً لتقرير DataReportal الرقمي لعام 2025، يضم البلد 54.8 مليون اتصال خلوي محمول — أي ما يعادل 116% من عدد السكان، حيث يحمل العديد من الجزائريين عدة شرائح SIM. يبلغ عدد مستخدمي الإنترنت 36.2 مليون شخص، بمعدل انتشار يصل إلى 76.9%. تجاوز BaridiMob وحده 10 ملايين تحميل على Google Play، مما يجعله من أكثر تطبيقات التكنولوجيا المالية انتشاراً في شمال أفريقيا. يعمل Yassir في أكثر من 60 مدينة عبر ست دول ويخدم أكثر من 10 ملايين مستخدم كتطبيق شامل يغطي خدمات النقل وتوصيل الطعام والمدفوعات. وتمتلك شركات الاتصالات Djezzy وMobilis وOoredoo ملايين المستخدمين النشطين الذين يديرون حساباتهم وباقات البيانات والمدفوعات.

ومع ذلك، فقد تجاوز هذا النمو الاستثمار في مجال الأمان. يواجه معظم مطوري التطبيقات الجزائريين — سواء في الشركات الناشئة أو المؤسسات المدعومة حكومياً — ميزانيات محدودة، ومحدودية في الوصول إلى أدوات اختبار الاختراق المهنية، وضغطاً تنظيمياً ضئيلاً لإجراء تدقيقات أمنية. والنتيجة هي مشهد تطبيقات حيث تسبق الراحة الحماية بمراحل.

لا تمتلك الجزائر حالياً أي معايير إلزامية لأمان التطبيقات المحمولة. وفي حين أن المرسوم الرئاسي رقم 26-07، المنشور في الجريدة الرسمية بتاريخ 21 يناير 2026، يُلزم المؤسسات العامة بإنشاء وحدات مخصصة للأمن السيبراني، إلا أنه لا يمتد إلى اشتراطات شهادات أو تدقيق أمان التطبيقات المحمولة في القطاع الخاص. للمقارنة، يفرض قانون المرونة السيبرانية الأوروبي (Cyber Resilience Act) مبدأ الأمان بالتصميم لجميع المنتجات الرقمية، كما يُصنّف مخطط وسم الأمن السيبراني في سنغافورة أمان الأجهزة الذكية الاستهلاكية على مقياس من أربعة مستويات — نموذج يمكن تكييفه لاعتماد التطبيقات المحمولة.

المنهجية: كيف يبدو التدقيق الأمني

يفحص التدقيق الأمني المهني للتطبيقات المحمولة عادةً التطبيقات مقابل OWASP Mobile Top 10، وهو التصنيف المرجعي لمخاطر أمان الهواتف المحمولة. تحدد نسخة 2024 من هذه القائمة فئات الثغرات الحرجة التالية:

الاستخدام غير السليم لبيانات الاعتماد — بيانات اعتماد مضمّنة في الكود، تخزين غير آمن لمفاتيح API
أمان سلسلة التوريد غير الكافي — ثغرات في حزم SDK الخارجية، تبعيات غير موثقة
المصادقة/التفويض غير الآمن — إدارة جلسات ضعيفة، ضوابط وصول معطلة
التحقق غير الكافي من المدخلات/المخرجات — هجمات الحقن، تسرب البيانات عبر السجلات
الاتصالات غير الآمنة — حركة مرور غير مشفرة، غياب تثبيت الشهادات
ضوابط الخصوصية غير الكافية — جمع مفرط للبيانات، تتبع تحليلي بدون موافقة
حماية ثنائية غير كافية — غياب التعتيم، تعرض للهندسة العكسية
تكوين أمني خاطئ — أوضاع التصحيح مفعّلة، إعدادات افتراضية غير آمنة
تخزين بيانات غير آمن — بيانات بنص واضح على الجهاز، قواعد بيانات غير محمية
تشفير غير كافٍ — خوارزميات ضعيفة، إدارة مفاتيح غير سليمة

يستخدم الباحثون الأمنيون أدوات مثل MobSF (إطار أمان الهواتف المحمولة)، وFrida للتحليل الديناميكي، وBurp Suite لاعتراض حركة المرور، وjadx لفك تجميع ملفات APK. في هذا التحليل، نعتمد على نتائج موثقة علنياً، وأنماط شائعة ملاحظة في أسواق مشابهة، وتقييمات معمارية مبنية على سلوكيات التطبيقات المتاحة للعموم.

BaridiMob: المحفظة الرقمية الجزائرية تحت المجهر

يُعد BaridiMob، الذي طورته بريد الجزائر، التطبيق الأكثر حساسية من الناحية الأمنية في المنظومة الجزائرية. يدير حسابات الحساب البريدي الجاري (CCP) لملايين المستخدمين ويعالج التحويلات بين الأفراد ودفع الفواتير والمعاملات التجارية.

ما يعمل بشكل جيد

أجرى BaridiMob تحسينات ملحوظة عبر الإصدارات الأخيرة. يتطلب التطبيق رمز OTP (كلمة مرور لمرة واحدة) عبر الرسائل القصيرة لتأكيد المعاملات، ويستخدم بروتوكول HTTPS للاتصالات مع واجهة برمجة التطبيقات (API)، وقد طبّق آليات انتهاء صلاحية الجلسة. وفقاً لسياسة البيانات المنشورة من بريد الجزائر، تُنقل بيانات المستخدمين بشكل آمن عبر HTTPS ولا تُشارك مع أطراف ثالثة.

نقاط مثيرة للقلق

ثغرات في تثبيت الشهادات. تثبيت الشهادات هو تقنية تضمن أن التطبيق يتواصل فقط مع خادم يقدم شهادة SSL محددة ومعتمدة مسبقاً. بدون ذلك، يمكن لمهاجم على نفس شبكة Wi-Fi (في مقهى أو حرم جامعي أو فندق) اعتراض حركة المرور باستخدام هجوم الرجل في المنتصف (man-in-the-middle). افتقرت العديد من التطبيقات المالية في الأسواق الناشئة تاريخياً إلى تطبيقات قوية لتثبيت الشهادات، مما يجعلها عرضة للاعتراض عبر الوكيل.

أذونات مفرطة. يجب أن يطلب التطبيق الحريص على الأمان الحد الأدنى من الأذونات الضرورية فقط. التطبيقات المالية التي تطلب الوصول إلى جهات الاتصال والكاميرا والموقع والتخزين بما يتجاوز ما تتطلبه وظائفها الأساسية تُنشئ أسطح هجوم غير ضرورية. كل إذن إضافي هو ناقل محتمل لتسرب البيانات في حال اختراق الجهاز.

ممارسات تخزين البيانات المحلية. على Android، التطبيقات التي تخزن رموز الجلسة الحساسة أو بيانات الحساب في SharedPreferences بدون تشفير، أو التي تكتب بيانات المعاملات في قواعد بيانات SQLite محلية بدون حماية، تكشف هذه المعلومات لأي تطبيق يملك صلاحية الجذر (root) أو لأدوات الاستخراج الجنائي. حتى على الأجهزة غير المتجذرة، يمكن لآليات النسخ الاحتياطي في Android استخراج هذه البيانات أحياناً.

كشف نقاط نهاية واجهة برمجة التطبيقات (API). تتواصل التطبيقات المالية بشكل متكرر مع واجهات برمجة تطبيقات خلفية قد لا تطبق تحديد معدل الطلبات بشكل صحيح، أو التحقق من المدخلات، أو تدوير رموز المصادقة. المهاجمون الذين يقومون بالهندسة العكسية لملف APK يمكنهم استخراج نقاط نهاية API ومحاولة حشو بيانات الاعتماد أو التلاعب بالمعاملات أو الوصول غير المصرح به للبيانات.

Yassir: سطح الهجوم المتنامي للتطبيق الشامل

تطور Yassir من تطبيق لحجز النقل إلى تطبيق شامل يغطي توصيل الطعام والتسوق اليومي والمدفوعات وحتى البيع بالتجزئة المادي بعد استحواذه على سلسلة متاجر Uno في 2026. كل وحدة وظيفية جديدة توسع سطح الهجوم للتطبيق. والجدير بالذكر أن لجنة حماية البيانات الشخصية (CDP) في السنغال حذرت Yassir رسمياً في 2023 للامتثال لقواعد حماية البيانات في البلاد عند توسع الشركة هناك — إشارة إلى أن حوكمة البيانات تمثل مصدر قلق حالي.

نموذج الأذونات

يتطلب Yassir خدمات تحديد الموقع (متوقع لتطبيق النقل)، لكن التطبيق يطلب أيضاً وصولاً مستمراً إلى الموقع في الخلفية، وإلى جهات الاتصال والكاميرا والميكروفون وحالة الهاتف. وبينما تدعم بعض هذه الأذونات ميزات مشروعة (التواصل مع السائق، صور الملف الشخصي)، فإن اتساع نطاق الأذونات يُنشئ ملفاً غنياً بالبيانات يكشف، في حال الاختراق، تفاصيل دقيقة عن سلوك المستخدم.

مخاطر حزم SDK الخارجية

تدمج التطبيقات الشاملة مثل Yassir عادةً عشرات حزم SDK الخارجية — التحليلات (Firebase، Mixpanel)، والإعلانات، وتقارير الأعطال، وخدمات الخرائط، ومعالجات الدفع. كل حزمة SDK هي ثغرة محتملة في سلسلة التوريد. في مارس 2024، اكتشف باحثون أمنيون أن مثيلات Firebase المُهيأة بشكل خاطئ في أكثر من 900 تطبيق كشفت أكثر من 125 مليون سجل مستخدم، بما في ذلك الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف وتفاصيل الفواتير. كان السبب الجذري هو استخدام المطورين لوضع الاختبار المتساهل في Firebase دون تطبيق قواعد أمان مناسبة — نمط تكوين خاطئ شائع في الشركات الناشئة سريعة النمو.

أمان المدفوعات

مع معالجة Yassir لمزيد من المعاملات المالية، يصبح أمان بنيته التحتية للمدفوعات أمراً بالغ الأهمية. يجب أن يمتثل التكامل مع مزودي الدفع المختلفين وتخزين تفاصيل البطاقات (أو معادلاتها المرمّزة) لمعايير PCI DSS. في السوق الجزائري، حيث يكون تطبيق معايير PCI DSS محدوداً، تقع المسؤولية بشكل كبير على ممارسات الأمان الداخلية للشركة.

تطبيقات شركات الاتصالات: Djezzy وMobilis وOoredoo

تدير تطبيقات شركات الاتصالات حسابات المشتركين ورصيد إعادة الشحن وباقات البيانات، وتقدم بشكل متزايد خدمات الدفع عبر الهاتف المحمول. تملك هذه التطبيقات وصولاً مباشراً إلى هوية رقم الهاتف وبيانات المشتركين.

مشكلات مشتركة عبر تطبيقات الاتصالات

مكونات WebView قديمة. تعتمد العديد من تطبيقات الاتصالات بشكل كبير على مكونات WebView المدمجة لعرض المحتوى، مما قد يُدخل ثغرات الويب (XSS، CSRF) في سياق الهاتف المحمول. إذا لم تُحدَّث مكونات WebView لسد الثغرات المعروفة في محرك المتصفح، تصبح نواقل هجوم دائمة.

الربط العميق (Deep Linking) غير الآمن. تسمح الروابط العميقة لمصادر خارجية (مواقع ويب، رسائل SMS، تطبيقات أخرى) بالانتقال مباشرة إلى شاشات محددة داخل التطبيق. إذا لم تتحقق معالجات الروابط العميقة من المصدر والمعاملات، يمكن للمهاجمين صياغة روابط خبيثة تُطلق إجراءات غير مقصودة — مثل بدء إعادة شحن لرقم يتحكم فيه المهاجم.

ضعف المصادقة عبر الرسائل القصيرة. يعتمد جميع المشغلين الثلاثة بشكل كبير على الرسائل القصيرة للتحقق من الحساب والمصادقة. الرسائل القصيرة غير آمنة بطبيعتها — عرضة لهجمات تبديل شريحة SIM وثغرات بروتوكول SS7 والاعتراض. وفي حين أن رمز OTP عبر الرسائل القصيرة أفضل من عدم وجود عامل ثانٍ، إلا أنه يبقى أدنى من تطبيقات المصادقة أو مفاتيح الأمان المادية.

كشف بيانات الحساب. تطبيقات الاتصالات التي تعرض أرقام الهواتف الكاملة أو عناوين الفواتير أو أرقام وثائق الهوية بدون إخفاء تُنشئ فرصاً للتصيد الاحتيالي. يمكن للقطات الشاشة المُشاركة على وسائل التواصل الاجتماعي، أو البيانات التي تلتقطها برمجيات تسجيل الشاشة الخبيثة، حصاد هذه المعلومات المرئية.

تطبيقات التجارة الإلكترونية والخدمات

يشمل قطاع التجارة الإلكترونية المتنامي في الجزائر تطبيقات مثل Ouedkniss — أكبر منصة إعلانات مبوبة في البلاد بأكثر من 800,000 زيارة يومية — إلى جانب Jumia Algeria ومنصات متنوعة لتوصيل الطعام. تجمع هذه التطبيقات عناوين الشحن ومعلومات الدفع وتاريخ المشتريات.

الثغرات الشائعة

تصميم API غير آمن. واجهات برمجة التطبيقات الخاصة بالتجارة الإلكترونية التي تستخدم معرّفات أعداد صحيحة متسلسلة للطلبات أو ملفات المستخدمين (مثل `/api/user/1001`، `/api/user/1002`) بدون فحوصات تفويض مناسبة تسمح بهجمات IDOR (مرجع الكائن المباشر غير الآمن)، حيث يمكن للمهاجم تعداد بيانات مستخدمين آخرين والوصول إليها ببساطة عن طريق زيادة المعرّف.

أسرار مضمّنة في الكود. يقوم المطورون تحت ضغط المواعيد النهائية أحياناً بتضمين مفاتيح API وبيانات اعتماد قواعد البيانات أو مفاتيح التشفير مباشرة في الكود المصدري للتطبيق. ملفات APK على Android قابلة لفك التجميع بسهولة باستخدام أدوات مثل jadx، مما يعني أن أي سر مضمّن في الكود هو فعلياً عام. هذه مشكلة منتشرة في التطبيقات المطوّرة ضمن مواعيد نهائية ضيقة مع عمليات مراجعة كود محدودة.

مدخلات غير مُتحقق منها. حقول البحث وأقسام التعليقات ونماذج المراجعات التي لا تُنظّف مدخلات المستخدم يمكن استغلالها لهجمات الحقن، مما يسمح للمهاجمين بالتلاعب باستعلامات قواعد البيانات أو حقن نصوص برمجية خبيثة.

الفجوة التنظيمية

يعاني الإطار التنظيمي للأمن السيبراني في الجزائر، رغم تطوره السريع، من فجوات كبيرة في مجال التطبيقات المحمولة.

ما هو موجود

المرسوم الرئاسي رقم 26-07 (يناير 2026) يُلزم المؤسسات العامة بإنشاء وحدات مخصصة للأمن السيبراني ترفع تقاريرها مباشرة إلى رؤساء المؤسسات وتنسق جميع إجراءات حماية البيانات وأمن الأنظمة. المرسوم الرئاسي رقم 25-321 (ديسمبر 2025) وافق على الاستراتيجية الوطنية لأمن أنظمة المعلومات في الجزائر للفترة 2025-2029. تنفذ وكالة أمن أنظمة المعلومات (ASSI)، العاملة تحت إشراف وزارة الدفاع الوطني، السياسات الوطنية للأمن السيبراني وتدافع عن البنية التحتية الحيوية. يوفر المجلس الوطني لأمن أنظمة المعلومات (CNSSI) التنسيق الاستراتيجي على المستوى الوطني.

يُرسي قانون حماية البيانات الجزائري (القانون 18-07 الصادر في يونيو 2018) مبادئ معالجة البيانات الشخصية وتُنفذه السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي (ANPDP). تم تعزيز الإطار بشكل كبير بموجب القانون رقم 11-25 (يوليو 2025)، الذي حدّث إطار 2018 بإلزام المؤسسات بتعيين مسؤولين عن حماية البيانات، والاحتفاظ بسجلات تفصيلية للمعالجة، وإجراء تقييمات أثر حماية البيانات.

ما ينقص

لا توجد شهادة إلزامية لأمان التطبيقات للتطبيقات المنشورة في الجزائر
لا توجد متطلبات تدقيق أمني للتطبيقات المحمولة المالية أو الحكومية
لا يوجد إطار للإفصاح عن الثغرات يحمي الباحثين الأمنيين
لا توجد متطلبات فحص أمني على مستوى متاجر التطبيقات تتجاوز فحوصات Google Play القياسية
لا توجد متطلبات إخطار بالاختراق خاصة بمطوري التطبيقات المحمولة الذين يتعرضون لخروقات بيانات

المقارنة الإقليمية

نشرت المديرية العامة لأمن نظم المعلومات (DGSSI) في المغرب، المُعيّنة كسلطة وطنية للأمن السيبراني بموجب القانون 05-20، توجيهاً وطنياً حول أمن نظم المعلومات يغطي القطاعات الحكومية والبنية التحتية الحيوية. تفرض الوكالة الوطنية للأمن السيبراني في تونس (ANCS) — التي حلّت محل الوكالة الوطنية لأمن المعلوماتية السابقة (ANSI) في 2023 بموجب المرسوم-القانون 2023-17 — تدقيقات إلزامية للأمن السيبراني لأنظمة المعلومات الحيوية. في الخليج، تفرض هيئة الأمن السيبراني الوطنية (NCA) في المملكة العربية السعودية تقييمات أمنية للتطبيقات الحكومية، بما في ذلك منصات مثل Absher وTawakkalna التي تخدم ملايين المواطنين يومياً. وقد وضعت هيئة تنظيم الاتصالات والحكومة الرقمية (TDRA) في الإمارات متطلبات أمان التطبيقات المحمولة للقطاعات المنظمة بما في ذلك الرعاية الصحية والمالية والاتصالات.

يترك غياب معايير مماثلة خاصة بالهواتف المحمولة في الجزائر السوق في وضع التنظيم الذاتي إلى حد كبير — والتنظيم الذاتي في مجال الأمن السيبراني أنتج تاريخياً نتائج متفاوتة. للسياق، سجلت الجزائر أكثر من 70 مليون هجوم سيبراني في 2024، لتحتل المرتبة 17 عالمياً بين الدول الأكثر استهدافاً، مما يؤكد ضرورة سد هذه الفجوة التنظيمية.

سيناريوهات هجوم واقعية

يساعد فهم كيفية تحول هذه الثغرات إلى هجمات فعلية في وضع المخاطر في سياقها الصحيح.

السيناريو الأول: سرقة بيانات الاعتماد في المقهى

يُنشئ مهاجم نقطة وصول Wi-Fi مزيفة في مقهى شهير بالجزائر العاصمة. المستخدمون الذين يتصلون بها ويفتحون تطبيقاً مصرفياً بدون تثبيت الشهادات يتم اعتراض حركة مرور API الخاصة بهم. يلتقط المهاجم رموز المصادقة ويستخدمها لإجراء تحويلات قبل انتهاء صلاحية الجلسة.

السيناريو الثاني: الهندسة الاجتماعية عبر تحديث مزيف

ينتشر ملف APK مزيف باسم « BaridiMob v4.0 » على مجموعات Facebook وقنوات Telegram، واعداً بميزات جديدة. المستخدمون الذين يثبتونه من خارج Google Play Store يمنحونه نفس الأذونات الممنوحة للتطبيق الحقيقي. تقوم النسخة المُلغّمة بحصاد بيانات الاعتماد وإعادة توجيه رموز OTP عبر الرسائل القصيرة إلى المهاجم.

السيناريو الثالث: اختراق سلسلة التوريد

يدمج تطبيق جزائري شهير للتجارة الإلكترونية حزمة SDK للتحليلات من طرف ثالث يتبين لاحقاً أنها تُسرّب بيانات المستخدمين إلى خوادم خارجية. بسبب عدم قيام مطور التطبيق بتدقيق سلوك الشبكة للحزمة، تم حصاد عادات التصفح وبيانات المشتريات للمستخدمين بصمت لأشهر.

السيناريو الرابع: تسرب بيانات عبر IDOR

يكتشف باحث أمني أن تطبيقاً جزائرياً لتوصيل الطعام يكشف تفاصيل الطلبات، بما في ذلك عناوين التسليم وأرقام الهواتف، عبر نقاط نهاية API قابلة للتنبؤ. من خلال التكرار عبر معرّفات الطلبات، يمكن لأي شخص استرجاع البيانات الشخصية لآلاف العملاء. بدون برنامج للإفصاح عن الثغرات، لا يملك الباحث قناة آمنة للإبلاغ عن المشكلة.

توصيات لمطوري التطبيقات الجزائريين

إجراءات فورية

تطبيق تثبيت الشهادات في جميع التطبيقات التي تتعامل مع بيانات حساسة. استخدام مكتبات مثل CertificatePinner من OkHttp على Android أو TrustKit على iOS. اختبار التثبيت بأدوات مثل Frida للتحقق من أنه لا يمكن تجاوزه بسهولة.

تدقيق الأذونات بصرامة. إزالة كل إذن غير ضروري للوظائف الأساسية. استخدام نموذج أذونات وقت التشغيل في Android لطلب الوصول فقط عندما تكون الميزة التي تحتاجه قيد الاستخدام الفعلي.

تشفير التخزين المحلي. استخدام واجهات برمجة التطبيقات EncryptedSharedPreferences وEncryptedFile من Android (جزء من Jetpack Security) بدلاً من SharedPreferences العادي. لقواعد بيانات SQLite، استخدام SQLCipher.

إزالة الأسرار المضمّنة في الكود. استخدام التسليم من جانب الخادم للتكوين أو التخزين الآمن الخاص بالمنصة (Android Keystore، iOS Keychain) لإدارة مفاتيح API وبيانات الاعتماد. دمج أدوات فحص الأسرار مثل gitleaks أو truffleHog في خطوط CI/CD.

تطبيق التحقق السليم من المدخلات على جانبي العميل والخادم. عدم الاعتماد على التحقق من جانب العميل وحده.

تحسينات متوسطة المدى

اعتماد OWASP MASVS (معيار التحقق من أمان التطبيقات المحمولة) كأساس لجميع مشاريع التطوير. استهداف المستوى 2 (الدفاع في العمق) لأي تطبيق يتعامل مع بيانات مالية أو شخصية.

دمج أدوات SAST وDAST في خط أنابيب التطوير. MobSF للتحليل الثابت، Burp Suite أو OWASP ZAP لاختبار واجهات برمجة التطبيقات.

إنشاء برنامج للإفصاح عن الثغرات. حتى عنوان بريد إلكتروني بسيط [email protected] مع سياسة منشورة يحسّن بشكل كبير فرص تلقي إفصاحات مسؤولة.

إجراء اختبارات اختراق من أطراف ثالثة مرة واحدة سنوياً على الأقل للتطبيقات التي تتعامل مع بيانات مالية. الاستعانة بشركات معتمدة من CREST أو مختبرين حاملين لشهادة OSCP.

تطبيق فحوصات سلامة التطبيق — كشف الأجهزة المتجذرة/المكسورة الحماية، كشف المُصحّحات قيد التشغيل، كشف التلاعب بتوقيع ملف APK.

أفضل الممارسات المعمارية

الانتقال إلى المصادقة القائمة على الرموز باستخدام رموز JWT قصيرة العمر، ورموز التحديث، وآليات الإلغاء المناسبة.

تطبيق تحديد معدل طلبات API وكشف الحالات الشاذة لتحديد حشو بيانات الاعتماد والكشط والهجمات الآلية.

استخدام تعتيم الكود (ProGuard/R8 لنظام Android، bitcode لنظام iOS) مع حماية التطبيق ذاتياً أثناء التشغيل (RASP) للتطبيقات عالية القيمة.

ما يمكن للمستخدمين فعله اليوم

على الرغم من أن المسؤولية الأساسية تقع على عاتق المطورين، يمكن لمستخدمي التطبيقات المحمولة في الجزائر اتخاذ خطوات عملية لحماية أنفسهم.

تثبيت التطبيقات فقط من Google Play Store أو Apple App Store. عدم تثبيت ملفات APK من مجموعات Facebook أو قنوات Telegram أو مواقع عشوائية أبداً، بغض النظر عن الميزات الموعودة.
مراجعة أذونات التطبيقات. على Android، الذهاب إلى الإعدادات > التطبيقات > [اسم التطبيق] > الأذونات. إلغاء أي إذن لا يتوافق مع وظيفة التطبيق.
الحفاظ على تحديث التطبيقات. تُسلّم التصحيحات الأمنية عبر تحديثات التطبيقات. تفعيل التحديثات التلقائية.
استخدام كلمة مرور مختلفة لكل تطبيق. مدير كلمات المرور مثل Bitwarden (مجاني، مفتوح المصدر) يُنشئ ويخزن كلمات مرور فريدة.
تفعيل المصادقة الثنائية في كل مكان تُتاح فيه.
الحذر من الروابط. عدم النقر أبداً على روابط في رسائل SMS تدّعي أنها من البنك أو مشغّل الاتصالات. فتح التطبيق الرسمي مباشرة بدلاً من ذلك.
مراقبة الحسابات. التحقق بانتظام من سجل معاملات BaridiMob وكشوف حسابات CCP للكشف عن أي معاملات غير مصرح بها.

الطريق إلى الأمام

تحدي أمان التطبيقات المحمولة في الجزائر ليس مشكلة تقنية — إنه مشكلة حوكمة واستثمار وتوعية. الأدوات والمعرفة اللازمة لبناء تطبيقات آمنة متاحة مجاناً. ما ينقص هو الدافع التنظيمي والالتزام المؤسسي والتحول الثقافي الذي يعامل الأمان كمتطلب أساسي للمنتج وليس فكرة لاحقة.

إن إنشاء إطار وطني لاعتماد أمان التطبيقات المحمولة — حتى لو كان طوعياً في البداية — سيضع خطاً أساسياً. يمكن لحوافز مثل شارات « معتمد أمنياً » على قوائم متاجر التطبيقات أن تُحفّز التبني التنافسي. يجب أن تدمج برامج علوم الحاسب الجامعية أمان OWASP للهواتف المحمولة في مناهجها. ويجب على الشركات الجزائرية التي تبني تطبيقات تتعامل مع البيانات المالية والشخصية لملايين المستخدمين أن تدرك أن الاختراق الأمني ليس خطراً افتراضياً — إنه حتمية والسؤال الوحيد هو متى، وليس هل.

تكلفة التدقيق الأمني الاستباقي هي جزء بسيط من تكلفة الاختراق — تُقاس ليس فقط بالدينارات، بل بالثقة العامة التي يعتمد عليها اقتصاد الجزائر الرقمي.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

كيف يمكنني التحقق مما إذا كان تطبيق جزائري آمناً؟

ابحث عن المؤشرات الأساسية: هل يستخدم التطبيق HTTPS (رمز القفل في نسخة المتصفح)؟ هل يوفر المصادقة الثنائية؟ هل يطلب الأذونات الضرورية فقط؟ على الرغم من أنك لا تستطيع إجراء تدقيق كامل كمستخدم، فإن هذه الإشارات المرئية تُشير إلى أن المطورين يأخذون الأمان على محمل الجد. يمكنك أيضاً التحقق مما إذا كانت الشركة قد نشرت سياسة أمان أو خصوصية.

هل التطبيقات الموجودة على Google Play Store آمنة تلقائياً؟

لا. يفحص Google Play Protect البرمجيات الخبيثة المعروفة، لكنه لا يدقق التطبيقات بحثاً عن تصاميم API غير آمنة أو تسريبات بيانات أو انتهاكات خصوصية. في مارس 2024، اكتشف باحثون أن أكثر من 900 تطبيق مع قواعد بيانات Firebase مُهيأة بشكل خاطئ كشفت 125 مليون سجل مستخدم — رغم توزيعها عبر المتاجر الرسمية. يُعد Play Store أكثر أماناً من التحميل الجانبي، لكنه ليس ضمانة للأمان.

ماذا أفعل إذا اكتشفت ثغرة في تطبيق جزائري؟

إذا كانت الشركة تمتلك جهة اتصال أمنية منشورة أو برنامج مكافآت للأخطاء، أبلغ عبر تلك القناة. إذا لم يكن كذلك، حاول الوصول إلى الفريق التقني للشركة عبر القنوات المهنية (LinkedIn، البريد الإلكتروني الرسمي). وثّق اكتشافك بلقطات شاشة وخطوات إعادة الإنتاج. تجنب الإفصاح العلني عن الثغرة قبل منح الشركة مهلة معقولة لإصلاحها (عادة 90 يوماً). لسوء الحظ، لا تمتلك الجزائر بعد إطاراً قانونياً يحمي الباحثين الأمنيين، لذا تصرف بحذر.