تأثیر آسیبپذیری امنیتی اندروید بر 950 میلیون کاربر
تأثیر آسیبپذیری امنیتی اندروید بر 950 میلیون کاربر
یک محقق.امنیتی اخیراً یک آسیبپذیری با درصد ریسک بالا را در اندروید.را کشف نموده است که به هکرها.اجازه میدهد که با ارسال یک پیام MMS یا فایل چندرسانهای به هر دستگاهی راه پیدا کنند.
پس از آلوده شدن سیستم، هکرها میتوانند به میکروفون، دوربین،.حافظه خارجی و.در مواردی به root دستگاه دسترسی پیدا کنند.
Joshua Drake محقق شرکت Zimperium این آسیب را کشف نمود.
این نقض از چند آسیبپذیری.در داخل یکی از ساختارهای نرمافزاری اندروید استفاده میکند.که فایلهای چندرسانهای را ثبت، اجرا و پروسه نماید.
خطرناکترین مسئله ان این است که این نقض میتواند بدون هیچ فعالیتی از طرف کاربر شروع به کار کند.
ساختار نرمافزاری مربوط.به این نقض برای پروسه نمودن همه محتوای رسانهای است. همه گوشیها و تبلت ها کافی. است که بااتصال به یک سایت.دارای محتوای ویدیوی آلوده شوند.
این محقق تستهای متعددی. بر روی نسخههای مختلف اندروید انجام داده است.که در آن برنامه پیامرسان.خود اندروید default برای MMS است. در این حالت لازم نیست فایلی را اجرا کنید و فقط با نگاه کردن به پیامهای MMS ممکن است نقض فعال شود.
Library موجود.در این ساختار فعالیتهای.مختلفی مانند اجرا رسانه، تولید thumbnail خودکار، استخراج metadata از فایلهای.صوتی و ویدیوی (طول، سرعت فریم، کانالها، و غیره) و اطلاعات مشابه.انجام میدهد.
پس کاربر لازم نیست یک فایل مخرب.اجرا کند تا آسیبپذیری فعال گردد و فقط لازم است.این فایلها به سیستم کپی.شوند تا نقض صورت گیرد.
پس.از کشف این آسیبپذیری Joshua Drake برای آنیک پچ (patch) ساخت. او مطالعات و پچ خود را در ماه آوریل 2015 در اختیار گوگل گذاشت و این شرکت فوراً برای.اصلاح این نقض دستبهکار شد.
مشکل اصلی این است.که.معمولاً بهروزرسانیهای.جدید.اندروید ممکن است مدتها و.حتی.ماهها طول بکشد چون تنوع گوشی اندروید.زیاد است و.سیستمهای بسیار متفاوتی باید بر اساس نیاز خود بهروزرسانی شوند.
آسیبپذیری
آمارها نشان میدهد.که از وسایل اندرویدی هنوز تحت تأثیر این آسیبپذیری هستند. سازندههای.گوشیهای اندروید که با گوگل مشارکت.رسمی ندارند به پچ ها در codebase این شرکت دسترسی ندارد.
اعتقاد بر این است که.احتمال حمله به حدود 950 میلیون گوشی.فعال اندرویدی وجود دارد.
این آسیبپذیری میتواند همه.گوشیهای دارای ورژن اندروید 2.2 به بالا (همه گوشیهای خریداریشده.در دو سال گذشته) را تحت تأثیر قرار دهد.
