آسیب‌پذیری نرم‌افزاری Qualcomm داده‌های کاربران را در اندروید به خطر می‌اندازد

FireEye جزییات یک آسیب‌پذیری جدی را منتشر کرده که بر روی بسته نرم‌افزاری Qualcomm تأثیر می‌گذارد و کشف کرده که این مشکل، در صدها مدل از دستگاه‌های اندروید وجود دارد.
گوگل این هفته اعلام کرده است که یک به‏‏‎روزرسانی اندروید را منتشر کرده که ده ‏ها آسیب‌پذیری را وصله می‌کند. راهنمای امنیتی این غول جستجوی اینترنتی همچنین به یک آسیب‌پذیری افشای اطلاعات در کنترل‎کننده اتصال اینترنتی CVE-۲۰۱۶-۲۰۶۰ اشاره کرده که به نرم‌افزار مخرب اجازه می‌دهد تا به داده‌های کاربر دسترسی پیدا کند.
این آسیب‌پذیری که به وسیله محققان Mandiant متعلق به FireEye کشف شده، «با اهمیت زیاد» درجه بندی شده است، اما گوگل اشاره می‌کند که بر دستگاه‌های نکسوس اثری ندارد. وصله برای این مشکل در انباره پروژه‌های متن‎باز اندروید AOSP قرار ندارد، به جای آن آخرین به‎روزرسانی‌های راه‌انداز برای دستگاه‌های آسیب‌پذیر، ارائه می‌شود.
FireEye می‌گوید که محققان در ماه ژانویه به Qualcomm در مورد این آسیب‌پذیری اطلاع داده‌اند و این سازنده در اوایل ماه مارس شروع به ارائه یک OEM و وصله برای برطرف کردن آن نموده است. اکنون به تولیدکنندگان دستگاه‌ها مربوط است تا وصله‎ها را در اختیار مشتریان قرار دهند.
این آسیب‎پذیری در یک بسته نرم‌افزاری متن‎باز که به وسیله Qualcomm پشتیبانی می‌شود وجود دارد و به (Android network daemon (netd مربوط است.
FireEye می‌گوید: «این آسیب‌پذیری زمانی رخ داد که Qualcomm به ارائه‌ی رابط‎های کاربری جدید به عنوان بخشی از سرویس سامانه «network manager» و در پی آن «netd damon» پرداخت که امکانات ارتباط اینترنتی بیشتری را در کنار سایر چیزها، ارائه می‌کند».
تأیید شده است که این آسیب‎پذیری بر روی دستگاه‌هایی تأثیر می‌گذارد که اندروید ۵ لالی پاپ و قبل‌تر از آن را اجرا می‌کنند که تقریباً معادل سه چهارم کل دستگاه‌های اندروید است.
محققان می‌گوید که بسته نرم‌افزاری Qualcomm که تحت تأثیر قرار گرفته است در پروژه‌های گسترده‌ای استفاده می‌شود که شامل نسخه CyanogenMod محبوب نیز می‌شود و به نظر می‌رسد که رابط‌های کاربری آسیب‌پذیر دست کم از اواخر سال ۲۰۱۱ وجود داشته‌اند.
این آسیب‌پذیری با افزایش سطح دسترسی در «رادیوی» دستگاه کاربر قابل سوءاستفاده است. مجوزهای استفاده از رادیو معمولاً به هیچ نرم‌افزار ثالثی داده نمی‌شود. مؤثرترین راه برای سوءاستفاده از آسیب‌پذیری CVE-۲۰۱۶-۲۰۶۰ از طریق یک نرم‌افزار آلوده است که به مجوز ACCESS_NETWORK_STATE دسترسی پیدا می‌کند. به گفته کارشناسان هر نرم‌افزاری می‌تواند با رابط کاربری آسیب‌پذیر بدون برانگیختن هیچ سوءظنی تعامل برقرار کند و بعید است که گوگل پلی نیز چنین نرم‌افزارهایی را به عنوان برنامه‌های مخرب، شناسایی کند.
با این حال کارشناسان می‌گویند که این آسیب‌پذیری تأثیر اندکی بر گوشی‌هایی دارد که از اندروید ۴.۴ و نسخه‌های بعد از آن استفاده می‌کند چرا که دارای بهبودهای امنیتی اساسی هستند.
FireEye می‌گوید: «در دستگاه‌های قدیمی، نرم‌افزار مخرب می‌تواند پایگاه‌های داده پیامک‎ها و مکالمه‌های گوشی را استخراج کند، به اینترنت دسترسی پیدا کرده و هر نوع فعالیت دیگری را که بتوان با «رادیوی» گوشی انجام داد، انجام دهد. دستگاه‌های جدید کمتر در معرض تهدید قرار دارند. نرم‌افزار مخرب می‌تواند برخی از ویژگی‌های سامانه را که به وسیله سامانه‎عامل پشتیبانی می‌شوند، تغییر دهد. در اینجا اثرات وارده بستگی به این دارد که چگونه OEM از ویژگی‌های سامانه‌های زیرین استفاده کند».
Qualcomm خود راهنمایی برای آسیب‌پذیری CVE-۲۰۱۶-۲۰۶۰ منتشر کرده و اظهاریه‌ی زیر را برای Security Week ارسال کرده است:
«فعال کردن قابلیت‌های امنیتی بالا و حریم خصوصی یک اولویت سطح بالا برای صنایع فناوری Qualcomm است. اخیراً ما با شرکت Mandiant متعلق به FireEye کار می‌کنیم تا یک آسیب‌پذیری (CVE۲۰۱۶-۲۰۶۰) را برطرف کنیم که ممکن است بر روی دستگاه‌های اندروید که با پردازنده‌های Snapdragon مشخصی کار می‌کنند، تأثیر بگذارد. ما از هیچ‎گونه سوءاستفاده از این آسیب‌پذیری اطلاعی نداریم. ما ارائه‎ی به‎روزرسانی‌های امنیتی برای مشتریان خود در جهت رفع این آسیب‌پذیری را ادامه خواهیم داد».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.