نقص وحشتناک اندروید کشف شد

روز دوشنبه Zimperium کشفی جالب از محققی به نام Joshua Drake را برملا نمود.

1.xl-2015-stagefright-1

 

نقصی در موتور پخش مدیای Stagefright اندروید که می‎تواند موجب حمله به میلیون‎ها کاربر دستگاه‎های موبایل شود، بدون اینکه کاری کرده باشند.

Stagefright که وظیفه پردازش چندین فرمت مدیای محبوب را بر عهده دارد، در زبان کد C++ نوشته شده، که نسبت به زبان‎هایی مانند Java احتمال خرابی حافظه بیشتری دارد.

به گفته Zimperium، Stagefright چندین نقطه ضعف در امکان اجرای از راه دور قطعه کد دارد که به روش های مختلفی ممکن است مورد سوء استفاده قرار گیرند.

بدترین آنها نیازی به هیچگونه تعاملی با کاربر نیز ندارد.

بنابر شمارش Zimperium، این ضعف حدود 95 درصد دستگاه‎های اندرویدی را در معرض خطر قرار می‎دهد، یعنی حدود 950 میلیون دستگاه.

نقص بدون نیاز به تماس

بنا به گفته Zimperium، متهاجمان برای سوء استفاده از بدترین نقص Stagefright، به چیزی بیش از شماره تلفن قربانی نیاز ندارند.

آنها می‎توانند یک فایل مدیای خاص در فرم پیام MMS برای قربانی ارسال کنند.

یک حمله کامل و موفق می‎تواند پیام ارسال شده را پیش از آنکه کاربر بتواند آن را مشاهده نماید پاک کند، که فقط یک نوتیفیکیشن از دریافت پیام برای کاربر نمایش داده خواهد شد.

موفق بودن حمله، نیازی به هیچ عمل خاصی از سوی قربانی ندارد.

Zimperium این نقص را به گوگل گزارش داد و patche مربوطه را نیز در اختیار آنان گذاشت، که گوگل طی 48 ساعت آنها را به کار بست.

چه کسی امن است

بنابر گزارش Zimperium، کاربران SilentCircle از Blackphone با انتشار نسخه 1.1.7 از PrivateOS در مقابل این مشکلات ایمن شده‎اند، و موزیلا فایرفاکس برای موبایل، در نسخه 38 و جدیدتر دارای اصلاحاتی برای رفع این مشکل است.

گوگل با اعضای Open Handset Alliance در جهت رفع مشکل در دستگاه‎های دارای اندروید رسمی کار می‎کند.

سخنگوی گوی، الیزابت مارکمن گفت “ما از جاشوا دریک برای مشارکتش تشکر می‎کنیم”.امنیت کاربران اندروید به شدت برای ما مهم است، به همین دلیل سریع واکنش نشان دادیم، و patche لازم به شرکای ما جهت استفاده در هر دستگاهی ارائه شده است.”

اکنون چه می‎شود

اگر کاربر دستگاه اندرویدی هستید، انتظار زیادی نداشته باشید و برای دردسر آماده شوید.

تحلیلگر امنیتی Tripwire ، کن وستین می‎گوید “بسیاری از اپراتورها و تولیدکنندگان تمایل دارند پچ‎های لازم را در صورت نیاز خودشان به کاربران تحمیل کنند.”

او به LinuxInsider گفت، “این یعنی بعد از انتشار همه پچ‎ها، بیش از نیمی از کاربران همچنان در معرض خطر خواهند بود.”

از آن گذشته، این ضعف به اندروید 2.2 بازمی‎گردد، که پنج سال پیش منتشر شده، وستین اشاره کرد که، “بعضی از این دستگاه‎ها ممکن است به خاطر قدیمی بودن و پشتیبانی نشدن از طرف تولیدکنندگان، اصلا پچ لازم را دریافت نکنند.”

Tripwire تا کنون هیچ سوء استفاده ای از نقص موجود در Stagefright مشاهده نکرده، گرچه وستین گفته “چون این ضعف اکنون برملا شده ممکن است شرایط خیلی زود تغییر کند.”

مروری بر امنیت عمومی اندروید

مارکمن از گوگل به LinuxInsider گفت “بیشتر دستگاه‎های اندرویدی، از جمله همه دستگاه‎های جدید، به تکنولوژی‎های مختلفی برای جلوگیری و سخت نمودن سوء استفاده از کاربران مجهز شده اند.” دستگاه‎های اندرویدی “همچنین دارای یک سندباکس اپلیکیشن هستند که برای حفاظت از اطلاعات کاربران و دیگر برنامه‎ها طراحی شده.”

گرچه، هنوز بحث و جدل فراوانی درباره میزان توانایی سندباکس‎ها در محافظت کامل از دستگاه وجود دارد.

سال گذشته Bluebox یک ارور طراحی در اندروید کشف کرد که آن را به عنوان Fake ID مطرح نمود، که به بدافزار امکان دور زدن سندباکس برنامه اندروید و در دست گرفتن کنترل برنامه را می‎داد.

به گفته Bluebox، گوگل نقص وب گرد فلش اندروید را از نسخه 4.4 اندروید کیت‎کت حذف نمود، اما 82 درصد از کاربران نتوانستند آپدیت ورژن جدید سیستم عامل را دریافت کنند چراکه برخی از تولیدکنندگان در ارائه آپدیت تاخیر داشتند و برخی به کل چنین آپدیتی ارائه نکردند.

بنابه گفته FireEye، سندباکس‎ها نتوانسته اند حملات سایبری پیشرفته را متوقف نمایند.

تامین امنیت در طوفان بدافزار

ریچارد بلچ، مدیر عامل Secure Channels به لینوکس اینسایدر گفت، به کار گرفتن روش‎های شناسایی قوی در حفاظت از برنامه‎های مهم می‎تواند به حفظ امنیت کاربران کمک کند. همچنین اطلاعات لاگین نباید روی خود دستگاه نگهداری شوند.