نقش فرآیند کشف اشکالات در تقویت سامانه‌عامل اندروید از زبان مسئول تیم امنیتی این سامانه‌عامل

فناوری‌های شرکت گوگل برای مدتی است که در فرآیند رفع آسیب‌پذیری‌های اندروید مورد استفاده قرار می‌گیرد و اکنون، مسئولان این شرکت معتقدند که در بسیاری از موارد، تلاش‌های زیاد در جهت رفع این آسیب‌پذیری‌ها و امن نگه‌داشتن این سامانه عامل، ملموس نیست.

نیک کرالویچ، مدیر تیم امنیتی اندروید در مصاحبه‌ای اذعان کرد: «در طول هفت سال تلاش خود در جهت رفع آسیب‌پذیری‌های امنیتی اندروید بارها شاهد اشکال‌های متعدد و در عین حال ترس، عدم اطمینان و شک در این فرآیند بوده‌ام. همواره جراید و روزنامه‌ها مطالبی را در مورد بروز اشکال در برنامه‌ها اعلام می‌کنند؛ مثلاً این بخش از رسانه در مطالب خود عنوان می‌کنند که یک میلیارد دستگاه به دلیل یک برنامه دارای اشکال، دچار مشکل شده‌اند؛ اما این روزنامه‌ها دیگر مطلبی را درباره اتفاقات بعدی در قبال این اشکالات بیان نمی‌کنند.»

کلارویچ که یکی از بنیان‌گذاران تیم امنیتی اندروید به شمار می‌رود، در همایش Black Hat در سال جاری در آمریکا مطالبی را در مورد چگونگی بیان و اعلان عمومی اخبار مربوط به اشکالات بیان کرد و همچنین بیان کرد که برای رفع آسیب‌پذیری‌ها و یادگیری از اشکالات و اشتباهات چه مراحلی انجام می‌شود. وی در این همایش یادآور شد که بسیاری از اشکالات اندروید باعث تقویت بخش‌های دفاعی این سامانه‌عامل شده‌اند. این بخش‌های دفاعی شامل بخش‌های محافظت از اطلاعات در بخش ارتباط اطلاعات، بخش پیشرفته جعبه شنی و طراحی امن‌تر بخش‌های رابط برنامه‌نویسی نرم‌افزار می‌شوند. کلارویچ در ادامه در این خصوص گفت: «بخشی از کار ما یادگیری از این آسیب‌پذیری‌ها و سپس استفاده از این مطالب و یادگیری‌ها در طراحی نسخه‌های جدید است. آسیب‌پذیری‌ها هرگز به طور کامل رفع نمی‌شوند، اما می‌توان آن‌ها را محدود کرده و مدیریت کرد.»

کلارویچ در بخش مهمی از سخنان خود پرده از یکی از مهم‌ترین و سودمندترین شکست‌های اندروید برداشت. وی در توضیح بیشتر در این خصوص اعلام کرد که این مسئله مربوط به آسیب‌پذیری معروف Stagefright است. وی برای درک بهتر این مسئله توسط دیگران، آن را با عملیات آپولو ۱۳ ناسا مقایسه کرد که در آن ناسا بارها شکست خورد، اما نهایتاً با موفقیت توانست سه فضانورد را با موفقیت از فضا به زمین برگرداند. وی در این خصوص گفت: «اگرچه عملیات آپولو ۱۳ شکست خورد، اما به نظر من ساعاتی که در این عملیات گذشت، بهترین ساعات ناسا از نظر کسب تجربه بود و من تصور می‌کنم که آسیب‌پذیری Stagefright نیز بهترین تجربه برای شرکت گوگل بود.»

شرکت گوگل پس از مشاهده آسیب‌پذیری‌های جدی در بخش کارگزار رسانه اندروید، بر آن شد که نه تنها برای رفع و طراحی وصله برای اشکالات اقدام کند، بلکه از محققان خود خواست که تلاش بیشتری را در این زمینه داشته باشند و اقداماتی مانند جلوگیری از اجرای پرونده‌های قابل‌اجرا در حافظه و محدود کردن اجرای کدهای قابل‌اجرا از خارج از سامانه را انجام دهند و فقط اجازه اجرای پرونده‌های قابل‌اجرا را از بخش‌های محافظت‌شده dm-verity بدهند. کرالویچ در این خصوص طی توضیحاتی بیان کرد: «در گذشته هنگامی‌که یک اشکال مطرح می‌شد، هشدارها و اتفاقات دیگری اعلام می‌شد و سپس ما باید زمان زیادی را صرف مرتب کردن اوضاع با استفاده از هفت روش و ابزار کاهشی می‌کردیم. بسیاری از این ابزارها برای محافظت از فرآیند کار کارگزار رسانه بودند و بسیاری دیگر نیز برای محافظت کلی از سامانه اندروید مورد استفاده قرار می‌گرفتند.»

تیم کرالویچ با بررسی‌های بیشتر در مورد اندروید و برنامه‌های آن، طی اقدامات جدید خود یک ترافیک رمزنگاری نشده و بدرمزنگاری شده را مورد بررسی قرار دادند. کرالویچ در این خصوص بیان کرد: «هر کسی می‌داند که شبکه هرگز نباید مطمئن تلقی شود. هنوز هم ترافیک‌های رمزنگاری نشده در سراسر دنیا وجود دارند. ما در گذشته تمرکز زیادی روی ترافیک‌های متن ساده داشتیم و به همین دلیل در نسخه Marshmallow اندروید بخش‌هایی را برای مقابله با این نوع از ترافیک‌ها قرار دادیم.»

چندی پیش یک محقق مستقل و ناشناس با اسکن کتابخانه برنامه Google Play، ۱۴۱۴ برنامه را کشف کرد که ترافیک نامناسب و ضعیفی را داشتند. این اقدام شرکت گوگل را بر آن داشت تا دو وصله با شناسه CVE-۲۰۱۵-۵۷۱۷ و CVE-۲۰۱۵-۳۶۱۰ را طراحی کرده و خطرات موجود در این بخش را کاهش دهد. کرالویچ در این خصوص یادآور شد که اگر کتابخانه‌ها متوجه ترافیک متن ساده شوند، بدون شک برنامه‌ها قطع خواهند شد.

کرالویچ همچنین در راستای فراخوان برای همکاری‌های بیشتر میان محققان حوزه امنیت، در همایش Black Hat اعلام کرد که این حوزه نیاز به حرکت به سمت زبان‌های محافظت از حافظه دارد. هسته لینوکس یکی از این زبان‌ها به شمار می‌رود.

وی همچنین در بخشی از سخنان خود در این همایش از کارشناسان امنیت تلفن‌همراه درخواست کرد تا با به هم پیوستن و همکاری خود، بهره‌برداری‌های ممکن در تلفن‌های‌همراه را کاهش داده و همچنین اقداماتی را برای کاهش امتیازات به حداقل و همچنین کاهش سطح‌های حملات علیه تلفن‌همراه‌ها انجام دهند.

طبق فهرست شرکت گوگل در مورد دلایل بروز اشکالات در اندروید (از جمله هسته و تمامی اجزای آن)، ۱۷ درصد اشکالات رخ‌داده به دلیل سرریزهای پشته‌ای بافر بوده و ۱۳ درصد آن‌ها نیز مربوط به سرریز اعداد صحیح بوده و ۱۲ درصد نیز به دلیل اطلاعات غیرپالایش‌شده رخ می‌دهند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.