تركت Google مستخدمي Android في حيرة من أمرهم بعد أن أدى التحديث الأخير لتطبيق Google للجوال إلى إضافة الروابط التي تمت مشاركتها من التطبيق إلى رابط غامض مسبقًا “search.app” اِختِصاص.
نظرًا لأن تطبيق Google يعد بوابة شائعة للبحث في الويب لمستخدمي Android ويقدم خلاصة أخبار محتوى مخصصة يشار إليها باسم Google Discover، فقد أثار القلق بين أولئك الذين لاحظوا الروابط الجديدة.
ما هذه الغامضةsearch.app الروابط؟
في 6 نوفمبر 2024، طرحت Google إصدار Android 15.44.27.28.arm64 من تطبيقها. وفي نفس الوقت تقريبًا، طرحت الشركة أيضًا تحديثات Chrome (Android)[[
منذ ذلك الحين، أصبحت الروابط التي يتم عرضها في متصفح Chromium داخل تطبيق Google، عند مشاركتها خارجيًا، ملحقة مسبقًا بـ “search.app” اِختِصاص.
لاحظت شركة BleepingComputer هذا السلوك بعد وقت قصير من تحديث تطبيق Google الخاص بنا، ونحن نعترف بأن رؤية النطاق الغامض تركتنا في حالة من الذعر في البداية. هل تم اختراق أجهزتنا بواسطة برامج الإعلانات المتسللة؟
(بيبينجكومبيوتر)
وقد ردد مستخدمون آخرون مخاوفنا على Reddit هذا الأسبوع.
“Recently (few days ago), I noticed that each link shared from the Google in-app web browser uses the ‘search.app’ domain,” سأل مستخدم رديتcom.danilopiazza.
“For example, trying to share the link to the Reddit front Page, I get: https://search.app?link=https%3A%2F%2Fwww.reddit.com%2F&utm_campaign=…&utm_source=…”
“Is this a new feature from the Google app?”
أجاب أحد القراء، “It seems like it. I’m getting this too. At first I thought I was somehow infected with some kind of malware, or somehow some setting unbeknownst to me got changed.”
ظهرت مشاركات مماثلة من”https://www.reddit.com/r/GalaxyS24/comments/1gltx15/all_links_have_searchapplink_attached_when/” الهدف=”_blank” rel=”nofollow noopener”>الآخرين.
لاحظ موقع BleepingComputer مشاركة الروابط عبر منشورات وسائل التواصل الاجتماعي”https://x.com/scottlincicome/status/1854568256956207322″ الهدف=”_blank” rel=”nofollow noopener”>X و”http://www.facebook.com/story.php?story_fbid=867785142193197&id=100068851584731&_rdr” الهدف=”_blank” rel=”nofollow noopener”>فيسبوك عبر تطبيق Google Android هذا الأسبوع “search.app” المجال أيضاً:
(بيبينجكومبيوتر)
لاحظنا بعض”https://www.facebook.com/groups/357763210959917/posts/7760766810659483/?_rdr” الهدف=”_blank” rel=”nofollow noopener”> المشاركات القديمة(من يونيو 2024) على وسائل التواصل الاجتماعي باستخدام روابط search.app التي لها بنية عنوان URL مختلفة إلى حد ما، على سبيل المثالhttps://search[.]التطبيق/ddc8Ap3W8nySXJ7bA
هل تطبيق search.app آمن؟
ببساطة، search.app هو مجال إعادة توجيه URL، يشبه إلى حد كبير t.co تستخدمه شركة X (تويتر سابقًا) التابعة لشركة Google g.co، أو ميتا”https://m.me/” الهدف=”_blank” rel=”nofollow noopener”>م.مي.
الروابط المسبقة مع “https://search.app?link=” من شأنه أن يمنح Google رؤية محسنة حول كيفية مشاركة الروابط خارجيًا بواسطة مستخدمي تطبيق Google و من ينقرون على هذه الروابط (أي”https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referer” الهدف=”_blank” rel=”nofollow noopener”> المُحيلون).
بالإضافة إلى جمع التحليلات، من خلال وضع نفسه بين المستخدمين والروابط الخارجية باستخدام “search.app” النطاق، سيكون لدى Google الآن القدرة على منع حركة المرور إلى نطاقات التصيد الاحتيالي أو المخترقة، في حالة تعرض موقع الويب للاحتيال، أو في حالة قيام المستخدمين بمشاركة محتوى مشكوك فيه مع بعضهم البعض (مثل موقع الاحتيال).
في اختباراتنا، أدى الانتقال إلى search.app مباشرةً إلى نقلنا إلى ملف “Invalid Dynamic Link” صفحة تحمل شعار Firebase.
(بيبينجكومبيوتر)
تم الاستحواذ على Firebase في عام 2014 بواسطة Google و”https://firebase.google.com/firebase-and-gcp#:~:text=Yes!,buildandgrowyourapp.” الهدف=”_blank” rel=”nofollow noopener”> أصبح منذ ذلك الحين “Google’s mobile development platform that empowers you to quickly build and grow your app.”
لقد لاحظنا شاشة مماثلة عند الانتقال إلى نطاق Google الآخر: https://search.app.goo.gl/
ومن المفارقات أن الروابط الديناميكية لـ Firebase موجودة”https://firebase.google.com/docs/dynamic-links” الهدف=”_blank” rel=”nofollow noopener”> مهمل ومن المقرر إغلاقه بحلول أغسطس 2025.
تُظهر سجلات WHOIS لكل من search.app وgoo.gl أن شركة Google LLC هي المؤسسة المسجلة وMarkMonitor باعتبارها جهة التسجيل.
شهادة SSL واستضافة مشتركة بين أكثر من مائة نطاق
بعد نشر هذه المقالة، أشار العديد من قراء BleepingComputer إلى وجود حالة شاذة في شهادة TLS الصادرة للمجال “search.app”.
ولإضافة الارتباك، تم تعيين الاسم الشائع (CN) على شهادة search.appفالاكني.كوم,موقع ويب باللغة الفرنسية يدعي أنه يساعدك”find your national identity card.”
(ليبينجكومبيوتر)
لاحظت BleepingComputer أيضًا أن نفس شهادة SSL قيد الاستخدام من قبل أكثر من مائة نطاق، كما هو موضح أدناه، والتي يتم استضافتها على نفس خادم Firebase (عنوان IP 199.36.158.100).
Fallacni.com
vireum.com
Meatton.go1pos.com
digitley.co.in
www.mcseat.es
Portfos.in
app.eluminate.in
dailypostbeat.com
www.hertzog-psychologue.fr
www.kanau.page
venits.com
www.weiwhite.com
jzz.me
الملاحظات الذهبية.io
Peacedollar.org
ing-v3.sudahdistaging.in
Merchantinstall.iomd.info
search.app
www.directions.healthcare
jeljam.io
www.oeson.in
www.cutrite.app
api.onflix.app
cmouse.app
www.preaching.app
doc-internal.dalek.rs
honeycom.jp
podium.tools
www.dreamlin.com
fireacademy.io
mumbai.toobzgaming.com
Risingstar.blackmint.io
qanda.link
Editor.agua.app
aariz.me
link.nibo.com.br
موقع نتيجة المزادات.farmgateauctions.com.au
beta.inhouseorders.io
typov.app
www.azvn.app
m.fiskal.app
genesix.ai
join.getostrich.app
swan-business-bugfix.ingogodev.net
compizza.lupi.delivery
bm.fusheng.info
preparhub.ca
go.holler.io
Meeting.skylar.ai
easterbay.org
Invest.scoutout.io
www.un-sichtbarespuren.de
cronometro.net
overthemoon.art
www.scenid.com
craftbyte.net
coloryourvoice.com
avantagecpo.com
fouronetwo.equem.mobi
yo-dev.eparatodos.org
federalcafe.5loyalty.com
bstsst.com
b.ejsa.io
souscription.flitter.fr
flyvendas.com.br
flairtime.com
cinemetric.app
flyclub.app
www.endevagames.com
getpayify.app
justpic.app
selfy.ai
omnamo.app
davidvu.co.uk
console.shopezy.app
home.jooni.app
gpso.se
guicerpro.com
demo.pricely.app
speccon.cnfg.app
Collctiv.app
Productbacklog.dev
app1.posible.in
bookmark.undef.in
jeyhid.com
الرجعية-it.com
rakesfieldandpeach.com
digitalnepalsolution.com
ryandine.com
dranandcardiocare.com
desiderioalmansa.com
vekend.com
strozu.com
hausasteri.com
bishoriad.com
hardalplus.com
Deliveryhub.app
epise.com
Ultrasiteservices.co.uk
reciproitsolutions.com
من الممكن أن يكون هذا بسبب استخدام ميزات SSL/TLS مثل”https://comodosslstore.com/resources/subject-alternative-name-san-examples-and-ssl-tls-certificate-options/” الهدف=”_blank” rel=”nofollow noopener”>الاسم البديل للموضوع (SAN)التي تتيح إمكانية تقديم نطاقات متعددة عبر HTTPS عبر شهادة مشتركة. لكنها بالتأكيد ستكون ممارسة غير عادية بالنسبة لشركة جوجل. للمقارنة، شهادة جوجل search.app.goo.glتم تعيين CN الخاص به على “misc-sni.google.com” ويتم استضافته على عنوان IP، 216.58.212.206.
بينما حتى الآن، search.app يبدو أن عناوين URL لمعيد التوجيه آمنة ويتم تشغيلها رسميًا بواسطة Google، إلا أن النقص الكبير في الوثائق المحيطة بالمجال أمر غريب، كما هو الحال مع عدم ذكرها في سجلات التغيير العامة لمشاريع Google مفتوحة المصدر، مثل Android أو Chromium.
لا بد أن يؤدي طرح تحديثات التطبيق إلى تنبيه المزيد من المستخدمين في الأيام المقبلة والذين قد يتساءلون عما إذا كانت أجهزتهم تعمل بشكل متقطع أو تم اختراقها بواسطة برامج ضارة.
فهل هذه هي محاولة جوجل لتقليد أبل نيوز التي”https://x.com/AppleNews/status/1854682748729819629?s=19″ الهدف=”_blank” rel=”nofollow noopener”>يضيف روابط إلى قصص خارجية مع https://apple.news؟
في الماضي، كان استخدام Google Chrome لـ”https://www.bleepingcomputer.com/news/security/what-are-these-suspicious-google-gvt1com-urls/” الهدف=”_blank”> مجالات GVT1.com الغريبةلقد اجتذبت التدقيق حتى من قبل أمهر الباحثين بسبب عدم وجود وثائق عامة تحيط بهذه المجالات.
اتصلت BleepingComputer بشركة Google للتعليق عليها قبل النشر ونحن في انتظار الرد.
التحديث، 8 نوفمبر 2024، الساعة 10:35 صباحًا بالتوقيت الشرقي: تمت إضافة قسم حول شهادة SSL الغامضة المقدمة من search.app. تم تصحيح الجملة للإشارة إلى أن الشهادة تحتوي على أسماء بديلة متعددة للموضوع (SANs) قيد الاستخدام. هذه قصة متطورة.