گوگل و ارائه وصله امنیتی برای یکی از آخرین آسیب پذیری های آندروی

گوگل چندی پیش رسما اعلام کرد با به روز رسانی پلت فرم آندروید خود قصد حل یکی از دو آسیب پذیری مهم که اخیرا سر و صدای زیادی در بحث های امنیت نرم افزاری به پا کرده را دارد. این رخنه امنیتی می تواند به فرد مهاجم اجازه دهد به نصب برنامه های مخرب بر روی گوشی هوشمند فرد قربانی بدون اجازه و اطلاع کاربر بپردازد.

محققان در همایش «کلاه سیاه» ابوظبی و در کنفرانس سالانه امنیت اینتل داخلی که در اورگان برگزار شد، به طور جداگانه پرده از دو آسیب پذیری مهم در سیستم عامل آندروید برداشتند که در را به روی حملات گسترده مهاجمان برای نصب و اجرای برنامه های مخرب بر روی گوشی های هوشمند آندروید باز می گذارد. در این بین مهاجم به راحتی قادر به دور زدن تاییدیه کاربر برای نصب برنامه روی گوشی مجهز به آندروید قربانی است.

جان اوبرهید، مدیر امور فناوری اطلاعات شرکت امنیتی Scio ، همراه با ژاک لانیر، مشاور ارشد در گروه Intrepidus، در کنفرانس اینتل نشان دادند چگونه این آسیب پذیری امنیتی در پلت فرم آندروید به هکرها (که خودشان این نقش را در کنفرانس بر عهده داشتند) امکان می دهد با استفاده از یک افزونه ساختگی برای یکی از بازی های امن تلفن همراه، به شکل پنهان و مخفیانه سه برنامه مخرب بر روی گوشی نصب کنند و در این بین روح کاربر هم از این اتفاق با خبر نشود! اوبرهید می گوید: «ابزار ما برای اثبات این رخنه و آسیب پذیری امنیتی، برنامه ای بود که وانمود می کرد مراحل اضافی و جایزه برای بازی Angry Birds است. پس از آن در پس زمینه این برنامه ظاهری، محققان موفق به نصب سه برنامه تقلبی پرداخت انلاین جعلی، سرقت اطلاعات مخاطبین از دفترچه تلفن قربانی، و ردگیری مکان کاربر شدند!»

این آسیب پذیریی بود که توسط اوبرهید و لانیر به اثبات رسید، گوگل را وادار به انتشار وصله رفع آسیب نمود و اکنون بنا به ادعای مسئولان گوگل آنها با این وصله موفق به رفع مشکل شده اند. گوگل هفته گذشته همچنین وادار به حذف برنامه ساختگی محققان از بازار آندروید شد.

«مهندسان و متخصصان ما به سرعت شروع به ایجاد راهکارهایی برای حل این مشکل کردند، تا روی تمام دستگاه های مجهز به آندروید اعمال شود. مثل همیشه، توصیه ما به کاربران این است که تنها برنامه های کاربردی را که کاملا بدان اعتماد دارند روی گوشی خود نصب کنند» این بخشی از صحبت های سخنگوی گوگل در واکنش به این رخنه بود.

در همین حال، آسیب پذیری امنیتی دیگری در کنفرانس کلاه سیاه (Black Hat) ابوظبی توسط محقق دیگری به نام نیلز، رئیس کمیته تحقیق و پژوهش شرکت MWR InfoSecurity به اثبات رسید. این نقص توسط تنظیمات پیش فرض ارائه شده در گوشی های HTC ایجاد شده است. نیلز می گوید، او تلاش کرد تا با HTC  در مورد این نقص تماس گرفته و آنها را در جریان یافته های خود قرار دهد، اما تاکنون هیچ پاسخی دریافت نکرده.

در کنفرانس، نیلز حمله ای علیه یک گوشی HTC Legend که بر روی خود نسخه 2.1 آندروید را داشت ترتیب داد و نشان داد با  به کارگیری و بهره کشی از یک مرورگر می توان به آندروید نفوذ کرد. این حمله اساسا افزونه ها و کامپاننت های مرورگر را بدون هیچ گونه نمایش هشدار به کاربر، به روز می کرد.

در هیچ کدام از حملات ترتیب داده شده توسط اوبرهید و لینر وهمچنین نیلز، آنها به هسته لینوکس حمله ور نشدند، بلکه مستقیما به فضای کاربری گوشی های هوشمند آندرویدی حمله کردند.
اوبرهید می گوید: «در آزمایش مفهومی ما، یک آیکون در نوار بالای صفحه به کاربر نشان می داد که برنامه ای در حال نصب است. شاید فکر کنید این امر از نقطه نظر فرد مهاجم نکته منفی تلقی می شود چون کاربر تلفن همراه را از چیزی که بدون اطلاع او در حال نصب است اگاه می کند. اما در واقعیت... اگر کاربر بر روی آن کلیک کند، در واقع برنامه را راه اندازی کرده!»

یک سال گذشته با روزها و لحظات سخت برای مباحث امنیتی سیستم عامل آندروید همراه بود. محققان در تکاپو بوده اند تا به کشف نقطه ضعف های امنیتی این  پلت فرم بازمتن که  به طور فزاینده ای در حال کسب محبوبیت در بازار گوشی های هوشمند است، بپردازند. به همین سبب است که در یکی از تحقیقات  اخیر اعلام شد: در سیستم عامل محبوب گوگل و در هسته پلت فرم آندروید بیش از ۳۵۰ عیب و رخنه نرم افزاری وجود دارد، که از این میان حدود یک چهارم آنها باعث نقض های امنیتی، قفل و هنگ کردن سیستم می شوند.

«اما موضوع اساسی شبیه به همان است که در جهان کامپیوترهای دسکتاپی می گذرد» این جمله را کوین ماهافی (Mahaffey) می گوید، که سمت مدیریت امور فناوری در شرکت Lookout Security، که از شرکت های تامین کننده امنیت تلفن های همراه است بر عهده دارد. او ادامه می دهد: « این مسئله به جهان کامپیوتر برمی گردد. آسیب پذیری ها می توانند در هر فرم و در هر بخش از این زنجیر (نرم افزار) رخ دهند و آندروید نسبت به گوشی های بلک بری یا آی فون بیشتر در معرض خطر برنامه های شخص ثالث که در خود آسیب پذیری هایی در سطح سیستم دارند، قرار می گیرد.  زیرا این دو مورد بیشتر تحت کنترل فروشندگانش و تولید کنندگانش هستند.»
ماهافی می گوید: «به طور معمول، ارائه وصله برای سیستم عامل موبایل آهسته تر از ارائه پچ برای یک رایانه شخصی است»

در همین حال، اوبرهید می گوید تلاش های او و لینر برای وادار کردن گوگل برای راه اندازی یک مکانیزم ویژه نصب برنامه بوده است. «شما به عنوان کاربر یک درخواست برای نصب برنامه قانونی روی گوشی آندروید خود خواهید دید- همان درخواست نصب، به سرویس گوگل ارسال و سبب راه افتادن ساز و کار نصب در گوشی پس از تایید گوگل می گردد»

او معتقد است که فروشگاه برنامه های کاربردی آندروید به اندازه کافی سلامتی و امنیت برنامه ها را چک نمی کند. با این حال ، اکثر حملات به تلفن های هوشمند تا کنون بسیار پایه ای بوده اند. او می گوید: « همواره میزان جعل و تقلب در موارد ناچیز و کم اهمیتی بروز می کرده مانند اس ام اس تقلبی، و بسیاری از برنامه های کاربردی تقلبی دیگر». اما حتی تقلب هایی که در برنامه های کاربردی بروز کرده تا کنون بیشتر برای پول درآوردن بوده تا سرقت اطلاعات. از جمله این برنامه های تقلبی می توان به برنامه ای اشاره کرد که ادعا می کرد با پرداخت تنها  ۹۹ سنت قادر مرور روزانه مطالب روزنامه نیویورک تایمز هستید، اما در عمل برنامه تنها صفحه اول سایت روزنامه را نشان می داد!

اگر نظر یا بحثی در مورد این مطالب دارید بد نیست نظر خود را در کادر مربوطه نوشته و با کلیک روی دکمه ارسال نظرات با ما در این بحث سهیم شوید.

برچسب ها:

• android
• Google
• mobile OS
• امنیت موبایل
• اندروید
• سیستم عامل موبایل
• گوگل

منبع:نگهبان