الإعلانات

ثغرة أمنية جديدة في Android تثير قلق عالم الأمن - وتترك هاتف Android الخاص بك عرضة للخطر للغاية. تأتي المشكلة في شكل ستة أخطاء في وحدة Android غير ضارة تسمى رهبة المسرح، الذي يستخدم لتشغيل الوسائط.

تسمح أخطاء StageFright لرسائل الوسائط المتعددة الضارة ، التي يرسلها المخترق ، بتنفيذ تعليمات برمجية ضارة داخل الوحدة النمطية StageFright. من هناك ، يحتوي الرمز على عدد من الخيارات للسيطرة على الجهاز. اعتبارًا من الآن ، هناك شيء مثل 950 مليون جهاز عرضة لهذا الاستغلال.

إنها ببساطة أسوأ نقطة ضعف في Android في التاريخ.

استيلاء الصمت

يتزايد انزعاج مستخدمي Android بالفعل من الاختراق ، ولسبب وجيه. يُظهر المسح السريع لتويتر ظهور العديد من المستخدمين الغاضبين عندما تتغلغل الأخبار في الويب.

مما سمعت ، حتى أجهزة Nexus لم تحصل على رقعة لها #رهبة المسرح. هل يوجد هاتف؟ http://t.co/bnNRW75TrD

- توماس بروستر (libetetom) 27 يوليو 2015

جزء مما يجعل هذا الهجوم مخيفًا هو أنه لا يوجد سوى القليل من المستخدمين الذين يمكنهم القيام به لحماية أنفسهم ضده. من المحتمل أنهم لن يعرفوا حتى أن الهجوم قد حدث.

عادةً ، للهجوم على جهاز Android ، تحتاج إلى مطالبة المستخدم بتثبيت تطبيق ضار. هذا الهجوم مختلف:

instagram viewer
سيحتاج المهاجم ببساطة إلى معرفة رقم هاتفك وإرسال رسالة وسائط متعددة ضارة.

اعتمادًا على تطبيق المراسلة الذي تستخدمه ، قد لا تعرف حتى وصول الرسالة. على سبيل المثال: إذا مرت رسائل MMS الخاصة بك برنامج Hangouts من Andoid كيفية استخدام Google Hangouts على جهاز Android الخاص بكGoogle+ Hangouts هي رد Google على غرف الدردشة. يمكنك قضاء الوقت مع ما يصل إلى 12 شخصًا باستخدام الفيديو والصوت والدردشة النصية ، بالإضافة إلى العديد من التطبيقات الاختيارية. تتوفر جلسة Hangout على جهاز Android ... اقرأ أكثر ، ستتمكن الرسالة الخبيثة من السيطرة وإخفاء نفسها قبل أن يقوم النظام حتى بتنبيه المستخدم بأنه وصل. في حالات أخرى ، قد لا تبدأ برمجية إكسبلويت حتى يتم عرض الرسالة فعليًا ، لكن معظم المستخدمين سيكتبونها ببساطة على أنها غير ضارة نص غير مرغوب فيه حدد الأرقام غير المعروفة وحظر الرسائل النصية غير المرغوب فيها باستخدام Truemessenger لنظام AndroidTruemessenger هو تطبيق جديد رائع لإرسال واستقبال الرسائل النصية ، ويمكنه أن يخبرك من هو رقم غير معروف ويمنع البريد العشوائي. اقرأ أكثر أو رقم خاطئ.

بمجرد الدخول إلى النظام ، يمكن للكود الذي يتم تشغيله داخل StageFright الوصول تلقائيًا إلى الكاميرا والميكروفون ، بالإضافة إلى ملحقات البلوتوث وأي بيانات مخزنة على بطاقة SD. هذا سيء بما فيه الكفاية ، ولكن (للأسف) إنها مجرد البداية.

بينما تنفذ Android Lollipop عدد من التحسينات الأمنية 8 طرق للترقية إلى Android Lollipop تجعل هاتفك أكثر أمانًاهواتفنا الذكية مليئة بالمعلومات الحساسة ، فكيف نحافظ على سلامتنا؟ مع Android Lollipop ، الذي يحتوي على مجموعة كبيرة في مجال الأمان ، يجلب الميزات التي تحسن الأمان في جميع المجالات. اقرأ أكثر ، معظم أجهزة Android لا يزال يعمل بإصدارات قديمة من نظام التشغيل دليل سريع لإصدارات وتحديثات Android [Android]إذا أخبرك أحدهم أنه يعمل بنظام Android ، فلن يقول ما تشاء. على عكس أنظمة تشغيل الكمبيوتر الرئيسية ، يعد Android نظام تشغيل واسعًا يغطي العديد من الإصدارات والأنظمة الأساسية. إذا احببت... اقرأ أكثر ، وتكون عرضة لشيء يسمى "هجوم التصعيد المميز". عادةً ما تكون تطبيقات Android "وضع الحماية ما هو Sandbox ، ولماذا يجب أن تلعب في واحديمكن للبرامج عالية الاتصال أن تفعل الكثير ، ولكنها أيضًا دعوة مفتوحة للمتسللين السيئين للإضراب. لمنع نجاح الإضرابات ، يجب على المطور اكتشاف وإغلاق كل ثقب في ... اقرأ أكثر "، مما يسمح لهم بالوصول فقط إلى جوانب نظام التشغيل التي تم منحهم إذنًا صريحًا لاستخدامها. تسمح هجمات تصعيد الامتياز للتعليمات البرمجية الخبيثة بـ "خداع" نظام تشغيل Android لمنحه المزيد والمزيد من الوصول إلى الجهاز.

بمجرد أن تتولى MMS الخبيثة السيطرة على StageFright ، يمكنها استخدام هذه الهجمات للسيطرة الكاملة على أجهزة Android القديمة غير الآمنة. هذا سيناريو كابوس لأمان الجهاز. الأجهزة الوحيدة المحصنة تمامًا ضد هذه المشكلة هي تلك التي تعمل بأنظمة تشغيل أقدم من Android 2.2 (Froyo) ، وهو الإصدار الذي قدم StageFright في المقام الأول.

رد بطيء

تم الكشف عن ثغرة StageFright في الأصل في أبريل من قبل Zimperium zLabsمجموعة من الباحثين الأمنيين. أبلغ الباحثون Google المشكلة. أطلقت Google بسرعة رقعة على الشركات المصنعة - ومع ذلك ، فإن عددًا قليلاً جدًا من صانعي الأجهزة دفعوا التصحيح بالفعل إلى أجهزتهم. الباحث الذي اكتشف الخلل ، جوشوا دريك ، يعتقد أن حوالي 950 مليون من المليار جهاز أندرويد المتداول عرضة لشكل من أشكال الهجوم.

ياي! BlackHatEvents قبلت بهدوء تقديمي للتحدث عن بحثي في @ذكري المظهرمسرح المرحلة! https://t.co/9BW4z6Afmg

- جوشوا ج. دريك (jduck) 20 مايو 2015

تم تصحيح أجهزة Google الخاصة مثل Nexus 6 جزئيًا وفقًا لـ Drake ، على الرغم من وجود بعض الثغرات. في رسالة بريد إلكتروني إلى FORBES حول هذا الموضوع ، طمأنت Google المستخدمين بأنه

"تحتوي معظم أجهزة Android ، بما في ذلك جميع الأجهزة الأحدث ، على تقنيات متعددة مصممة لجعل الاستغلال أكثر صعوبة. تتضمن أجهزة Android أيضًا وضع حماية للتطبيقات مصممًا لحماية بيانات المستخدم والتطبيقات الأخرى على الجهاز ، "

ومع ذلك ، هذا ليس الكثير من الراحة. حتى نظام اندرويد جيلي بين أفضل 12 نصيحة لـ Jelly Bean للحصول على تجربة جديدة على Google Tabletيوفر Android Jelly Bean 4.2 ، الذي تم شحنه في البداية على Nexus 7 ، تجربة جديدة رائعة للكمبيوتر اللوحي تتفوق على الإصدارات السابقة من Android. حتى أنه أثار إعجاب معجبينا المقيمين في Apple. إذا كان لديك جهاز Nexus 7 ، ... اقرأ أكثر ، كان وضع الحماية في Android ضعيفًا نسبيًا ، وهناك العديد من الاستغلالات المعروفة التي يمكن استخدامها للتغلب عليها. من الأهمية بمكان أن يطرح المصنعون التصحيح المناسب لهذه المشكلة.

ما الذي تستطيع القيام به؟

لسوء الحظ ، يمكن أن يكون صانعو الأجهزة بطيئين للغاية في طرح هذه الأنواع من تصحيحات الأمان الهامة. من الجدير بالتأكيد الاتصال بقسم دعم العملاء في الشركة المصنعة للجهاز الخاص بك وطلب تقدير حول موعد توفر التصحيحات. الضغط العام سيساعد على الأرجح في تسريع الأمور.

بالنسبة لدريك ، يخطط للكشف عن النطاق الكامل للنتائج التي توصل إليها في DEFCON ، وهو مؤتمر أمني دولي يعقد في أوائل أغسطس. نأمل أن يحفز الإعلان الإضافي الشركات المصنعة للأجهزة على إصدار التحديثات بسرعة ، الآن بعد أن أصبح الهجوم من المعارف الشائعة.

في ملاحظة أوسع ، هذا مثال جيد على سبب أن تجزئة Android تمثل كابوسًا أمنيًا.

مرة أخرى إنها كارثة #ذكري المظهر التحديثات في أيدي مصنعي الأجهزة. يجب أن تضر Android بجدية. #رهبة المسرح

- مايك؟ (mipesom) 27 يوليو 2015

على نظام بيئي مقفل مثل iOS ، يمكن نقل التصحيح لهذا في غضون ساعات. على Android ، قد يستغرق الأمر أشهرًا أو سنوات للحصول على كل جهاز بسرعة نظرًا للمستوى الهائل من التجزئة. أنا مهتم بمعرفة الحلول التي ستطرحها Google في السنوات القادمة لبدء إخراج هذه التحديثات الحيوية للأمان من أيدي صانعي الأجهزة.

هل أنت مستخدم Android متأثر بهذه المشكلة؟ هل أنت قلق بشأن خصوصيتك؟ دعنا نعرف أفكارك في التعليقات!

حقوق الصورة: لوحة مفاتيح بإضاءة خلفية من ويكيميديا

وكاتب وصحفي مقيم في الجنوب الغربي ، يضمن أندريه أن يظل يعمل حتى 50 درجة مئوية ، وهو مقاوم للماء حتى عمق اثني عشر قدمًا.