آسیب‌پذیری‌های جدی، ۶۰ درصد از دستگاه‌های اندروید را تهدید می‌کند!

محققان هشدار می‌دهند که یک آسیب‌پذیری افزایش سطح دسترسی (EoP) در محیط اجرای امن Qualcomm بر روی حدود ۶۰ درصد از دستگاه‌های اندروید با وجودی که وصله شده است، تأثیر می‌گذارد.
مقصر یک حفره‌ی EoP در نرم‌افزار Widevine QSEE TrustZone است که با شناسه CVE-۲۰۱۵-۶۶۳۹ مشخص شده و ماه ژانویه هنگامی که گوگل به ارائه‌ی وصله برای ۱۲ حفره در اندروید مبادرت کرد، وصله شده است. این حفره یک نرم‌افزار با دسترسی بالا و آلوده را برای دسترسی به QSEECOM فعال می‌کند تا به اجرای یک کد دلخواه در بافت Trustzone بپردازد.
یک توضیح کوتاه از نحوه بهره‌برداری از این حفره به شرح زیر است: QSEECOM یک دستگاه هسته‌ی لینوکس است که به فرایندهای موجود در فضای کاربر نظیر کارگزار رسانه‌ (که در سامانه‌عامل‌ معمول و یا «محیط معمول» استفاده می‌شود) اجازه می‌دهد تا با نرم‌افزارهای مورد اطمینان در یک سامانه‌عامل امن ارتباط برقرار کند و از فرایندهای محافظت شده و سخت‌افزارها (که به عنوان «محیط امن» نامگذاری شده‌اند) محافظت می‌کند.
بنابراین، کدهای مخرب در محیط معمولی می‌توانند trustlet ها را فراخوانی کرده و از آسیب‌پذیری‌ها در دستگاه‌های به خطر افتاده بهره‌برداری کنند.
هسته‌ی TrustZone در داخل محیط امن عمل می‌کند، در حالی‌که QSEECOM در محیط معمول، اما هر دو بخشی از هسته هستند. در این مورد خاص، مهاجم می‎تواند یک کد مخرب را در کارگزار رسانه‌ اجرا کند، قادر است از یک نرم‌افزار در محیط امن (نرم‌افزار Widevine’s DRM)‌ بهره‌برداری کند تا کنترل کاملی روی دستگاه آلوده را با دستکاری هسته لینوکس محیط معمول بدست آورد.
گال بنیامینی در پست اخیر خود شرح داده است که QSEE به شدت ارتقاء یافته است که موجب می‌شود تا بتواند مستقیماً با هسته‌ی TrustZone تعامل داشته باشد و به سامانه پرونده امن سخت‌افزار (TrustZone (SFS دسترسی پیدا کند. علاوه بر این، دسترسی مستقیم به حافظه‌ی سامانه را دارد که در اثر آن مهاجم می‌تواند هسته‌ی لینوکس را بدون یافتن یک آسیب‌پذیری هسته و بهره‌برداری از آن، مورد حمله قرار دهد.
با این حال، مهاجم هنوز باید از یک آسیب‌پذیری در کارگزار رسانه‌ بهره‌برداری کند که کار راحتی نیست. از اواسط سال ۲۰۱۵ و هنگامی که یک آسیب‌پذیری مستقیم افشاء شد، گوگل ماهانه حفره‌ها را در کارگزار رسانه‌ وصله می‌کند و به‎روزرسانی امنیتی ماه می ۲۰۱۶ نیز برای دستگاه‌های نکسوس حاوی یک وصله بود.
شرکت امنیتی Duo ادعا کرده است؛ این حفره که سال گذشته به وسیله گال بنیامینی کشف شد بر روی ۷۵ درصد از دستگاه‌های اندروید که با پردازنده‌ی Qualcomm کار می‌کنند، تأثیر می‌گذارد. به گفته این شرکت، حدود ۸۰ درصد از همه‌ی دستگاه‌های اندروید دارای پردازنده‌ی Qualcomm هستند،‌ اما تنها ۲۵ درصد از کاربران وصله‎ها را نصب می‌کنند که به این معناست که ۶۰ درصد از دستگاه‌های اندروید هنوز آسیب‌پذیر هستند.
در حالی‎که دستگاه‌های واجد شرایط به‎روزرسانی ماه ژانویه‌ی ۲۰۱۶ را تا کنون دریافت کرده‌اند، میلیون‌ها دستگاه نیز آن‎ها را دریافت نکرده‌اند. با توجه به اینکه این وصله‎ها تنها راه برای رفع این آسیب‌پذیری‌ها است، تولیدکنندگان باید آن‎ها را اعمال کرده و برای شرکت‌های مخابراتی ارسال کنند و آن‎ها نیز این وصله‎ها را تأیید کرده و برای نصب ارسال کنند. با این حال، این روند آهسته است و خدمات قدیمی اغلب از چرخه‌ی این به‎روزرسانی عقب می‌مانند و در نتیجه‌ی آن میلیون‌ها کاربر نمی‌توانند برای همیشه این وصله‎ها را دریافت کنند.
به گفته محققان Duo یک تجزیه و تحلیل از داده‌های مربوط به ۵۰۰ هزار دستگاه نشان می‌دهد که حدود ۲۷ درصد از همه‌ی دستگاه‌هایی که بررسی شده‌اند به صورت دائم در معرض این آسیب‌پذیری قرار خواهند داشت. برای کاهش این آسیب‌پذیری، تولیدکنندگان و شرکت‌های مخابراتی باید وصله‎های مربوط به نسخه‌های اندروید که در معرض ابتلاء به این آسیب‌پذیری هستند، را برای کاربران دستگاه‌های خود ارسال کنند.
در ماه مارس، محققان شرکت فایرآی جزئیات مربوط به یک آسیب‌پذیری جدی را افشاء کردند که بر روی بسته نرم‌افزار Qualcomm موجود بر روی صدها مدل از دستگاه‌های اندروید تأثیر می‌گذاشت. این مشکل بر روی کنترل کننده‌ی اتصال اینترنت Qualcomm پیدا شد و با شناسه CVE-۲۰۱۶-۲۰۶۰ نام‎گذاری گردید و می‌توانست به یک نرم‌افزار مخرب اجازه دهد تا به اطلاعات کاربر دسترسی پیدا کند.
همچنین در ماه مارس، پس از اینکه محققان یک حفره را توسط برنامه‌های کاربری مورد سوءاستفاده قرار گرفته بود، کشف کردند، گوگل یک وصله‎ی فوری را برای دستگاه‌های اندروید منتشر کرد تا تلاش کند آسیب‌پذیری افزایش دسترسی محلی را در هسته وصله کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.