بهره‌برداری از آسیب‌پذیری بحرانی در سامانه‌عامل اندروید فقط با استفاده از تصاویر

آیا شما کاربر اندروید هستید؟ یک تصویر ظاهراً بی‌ضرر در رسانه‌های اجتماعی یا برنامه‌های پیام‌رسان می‌تواند دستگاه تلفن همراه شما را به خطر بیندازد.

آخرین به‌روزرسانی‌های امنیتی که توسط گوگل منتشر شده‌اند آسیب‌پذیری‌های Quadrooter که بیش از ۹۰۰ میلیون دستگاه را تهدید می‌کردند و یک آسیب‌پذیری روز-صفرم بحرانی که به مهاجمان اجازه می‌داد حمله نفوذ خود را به‌طور پنهانی و توسط یک تصویر انجام دهند وصله کردند.

اشکال مذکور که با عنوان CVE-۲۰۱۶-۳۸۶۲ کدگذاری می‌شود، یک آسیب‌پذیری اجرای کد از راه دور در Mediaserver است. این خطا بر روش استفاده از تصاویر توسط برنامه‌های کاربردی اندروید که داده‌های Exif موجود در تصاویر را تجزیه‌وتحلیل می‌کنند اثر می‌گذارد.

در ویکی‌پدیا در این خصوص آمده است: «قالب پرونده تصویری قابل‌تبادل (Exif، مطابق مشخصات JEIDA/JEITA/CIPA) استانداردی است که قالب تصاویر، صدا و برچسب‌های فرعی مورد استفاده دوربین‌های دیجیتال (ازجمله تلفن‌های همراه)، پویشگرها و دیگر سامانه‌هایی که با پرونده‌های تصویری و صوتی ثبت‌شده توسط دوربین‌های دیجیتال کار می‌کنند مشخص می‌کند.»

این اشکال اولین بار توسط محقق امنیتی تیم استریزر از شرکت Sentinelone کشف شد. او توضیح داد که نفوذگران از این خطا برای کنترل کامل دستگاه یا وارد شدن به آن بدون اطلاع قربانی استفاده می‌کنند.

فوربس توضیح می‌دهد: «استریزر گفته است مادامی که مهاجم کاربری را بیابد که پرونده تصویری را درون برنامه کاربردی آسیب‌دیده مثل Gchat و Gmail باز کند، می‌تواند موجب مشکل فنی در دستگاه شده و یا از راه دور کد‌ خود را اجرا کند؛ بدین‌ترتیب می‌تواند بدافزار را به‌طور مؤثر درون یک دستگاه قرار داده و کنترل آن را بدون اطلاع کاربر در اختیار بگیرد.»

قربانی لزوماً نباید روی تصویر و یا پیوند مخرب کلیک کند چون به‌محض اینکه اطلاعات توسط دستگاه تجزیه‌وتحلیل شود آسیب‌پذیری CVE-۲۰۱۶-۳۸۶۲ قابل بهره‌برداری است.

استریزر تصریح کرد: «مشکل موجود بسیار بحرانی است چون یک نفوذگر مخرب نیازی به انجام کار زیادی از سوی قربانی ندارد. یک برنامه کاربردی تنها نیاز به بارگیری تصویر به شیو‌ه‌ای خاص دارد. بهره‌برداری از اشکال به‌سادگی و راحتی دریافت یک پیام یا رایانامه از فردی دیگر است. به محض این‌که برنامه کاربردی تلاش می‌کند تصویر را تجزیه‌وتحلیل کند (که به‌طور خودبه‌خود انجام می‌شود) فرآیند سو‌استفاده آغاز می‌شود.»

این چه مفهومی دارد؟

اینکه فقط یک تصویر حاوی یک بهره‌برداری عمومی می‌تواند در سکوت به میلیون‌ها دستگاه اندروید نفوذ کند مشابه بهره‌برداری Stagefright است که به مهاجمان اجازه می‌داد تلفن همراه را تنها با یک پیام متنی ساده مورد نفوذ قرار دهند.

استریزر همچنین افزود: «از لحاظ نظری، یک فرد می‌تواند یک بهره‌برداری عمومی را درون یک تصویر ایجاد نماید تا از چندین دستگاه بهره‌برداری کند. با این‌حال، به‌واسطه سطح دانش فنی که من دارم باید هرکدام را به طور جداگانه برای دستگاه‌ها بسازم. به محض این‌که این امکان فراهم شد، Gchat ،Gmail، اغلب دیگر برنامه‌های پیام‌رسان یا برنامه‌های کاربردی رسانه‌های اجتماعی شاید احتمال استفاده از این بهره‌برداری را فراهم نمایند.»

استریزر بهره‌برداری‌هایی را برای دستگاه‌های آسیب‌دیده توسعه داد و آن‌ها را در Gchat، Gmail و بسیاری از دیگر پیام‌رسان‌ها و برنامه‌های کاربردی رسانه‌های اجتماعی آزمایش کرد.

استریزر نام دیگر برنامه‌های کاربردی که تحت تأثیر آسیب‌پذیری CVE-۲۰۱۶-۳۸۶۲ قرارگرفته‌اند را فاش نکرد. او همچنین افزود که فهرست نرم‌افزارهای آسیب‌پذیر شامل ابزارهای «حساس به حریم خصوصی» استنیز می‌شود. هرگونه برنامه کاربردی تلفن همراه که شیء جاوا اندروید Exiflnterface به کار می‌گیرد احتمالاً در معرض این آسیب‌پذیری است.

اشکال اندروید CVE-۲۰۱۶-۳۸۶۲

آسیب‌پذیری مذکور مشابه اشکال Strgerfright (کد بهره‌برداری) طی سال اخیر است که به مهاجمان اجازه می‌داد دستگاه‌های اندروید را تنها با یک پیام متنی ساده بدون اینکه مالک آن مطلع باشد سرقت کنند.

سامانه‌عامل اندروید نسخه‌های ۴.۴.۴ تا ۶.۰.۱ تحت تأثیر آسیب‌پذیری CVE-۲۰۱۶-۳۸۶۲ قرار هستند.

گوگل پیش ‌از این وصله‌ای را برای اصلاح این آسیب‌پذیری ارائه کرده است. طبق معمول این بدان معنا نیست که تلفن همراه شما آن را به کار گرفته است چون مدیریت وصله به سازندگان و ارائه دهندگان خدمات بستگی دارد.

بنابراین اگر نسخه به‌روز شده سامانه‌عامل اندروید را ندارید احتمالاً در برابر حمله مبتنی بر تصویر آسیب‌پذیر هستید.

گوگل به‌عنوان بخشی از پاداش پیدا کردن اشکال اندروید ۴۰۰۰ دلار به استریزر جایزه داد و ۴۰۰۰ دلار دیگر هم به آن افزود چراکه این محقق متعهد شده بود تمام ۸۰۰۰ دلار را صرف برنامه Girls Garage کند که یک برنامه مربوط به پروژه غیرانتفاعی Project H Design برای دختران ۹ تا ۱۳ ساله است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap