أسلوب العتاد

أمان Android معيب ولا يمكن لـ Marshmallow إصلاحه

ما الفيلم الذي يجب رؤيته؟

يوم الأسبوع:

النوع:

يكتب: فيلم مسلسل

المصدر: Twitter.com/Android

المصدر: Thinkstock

لم يكن أسبوعًا جيدًا لأمن نظام التشغيل Android ، مع استمرار التقارير عن حالة العديد من نقاط الضعف المستمرة التي تؤثر على ملايين المستخدمين. ويبدو أنه حتى Android Marshmallow ، الإصدار الرئيسي التالي من البرنامج الذي ستطلقه Google هذا الخريف ، لن يفعل الكثير للتخفيف من مشاكل الأمان الرئيسية الكامنة وراء نظام تشغيل الأجهزة المحمولة الأكثر شهرة في العالم.

تقارير دان جودين لآرس تكنيكا ذلك عيبان منفصلان في التعليمات البرمجية الاستمرار في تعريض ملايين المستخدمين للخطر. الأول يتضمن تحديثًا حديثًا من Google ، والذي يهدف إلى إصلاح الخلل الذي مكّن المهاجمين من تنفيذ تعليمات برمجية ضارة على حوالي 950 مليون هاتف يعمل بنظام Android - باستخدام ليس أكثر من رسالة نصية مرسلة إلى رقم هاتف المستخدم. بعد سبعة أيام من نشر Google إصلاحًا ، أفاد باحثو الأمن أن التصحيح ، الذي تمتلكه Google منذ أبريل ، هو نفسه معيب للغاية بحيث لا يزال بإمكان المهاجمين استغلال الثغرة الأمنية. قال جوردان جروسكوفنجاك وآرون بورتنوي من شركة الأمن Exodus Intelligence لـ Ars Technica: 'يتكون التصحيح من 4 أسطر من التعليمات البرمجية وقد تمت مراجعته (على الأرجح) من قبل مهندسي Google قبل الشحن'. 'يعتقد عامة الناس أن الرقعة الحالية تحميهم في حين أنها في الواقع لا تحميهم'.

لمن لعب شانون شارب

الثغرة الأمنية ناتجة عن خطأ في تجاوز سعة المخزن المؤقت في Stagefright ، مكتبة الأكواد التي تعالج الفيديو في نظام التشغيل Android. التصحيح ، الذي قدمه الباحثون الذين اكتشفوا الخلل وأبلغوا Google به بشكل خاص في أبريل ، يمنع بعض عمليات الاستغلال وليس كلها.

كريج برادشو شقيق تيري برادشو

تعمل المخازن المؤقتة كحاويات لكميات محددة من البيانات ، وعندما يتم تجاوز الحجم المعين ، يمكن تنفيذ المحتويات. تجعل الإصدارات الجديدة من Android عمليات استغلال تجاوز السعة أكثر صعوبة من خلال إجراء أمني يسمى التوزيع العشوائي لتخطيط مساحة العنوان ، والذي يقوم بترتيب المواقع العشوائية التي يتم تحميل التعليمات البرمجية الضارة فيها. ومع ذلك ، يمكن للقراصنة الأكثر تقدمًا في كثير من الأحيان تجاوز التخفيف.

كما ذكرت Apple Insider ، أصدرت جوجل تحديثًا آخر لشركائها ، وقد يكون Nexus 4 و 5 و 6 و 7 و 9 و 10 و Nexus Player أول من يحصل على التحديث عند إصداره في أيلول (سبتمبر). ليس من الواضح متى ستحصل الهواتف بخلاف Nexus على التصحيح الجديد. في تقدير جودين ، 'تؤكد الحادثة مدى صعوبة الحصول على الأمان بشكل صحيح.'

في حادثة منفصلة ، أبلغ باحثون من شركة الأمان MWR Labs عن وجود خلل يمكّن التطبيقات الضارة من الخروج من صندوق حماية أمان Android ، وهو دفاع رئيسي يمنع كلمات المرور والبيانات الحساسة المرتبطة بتطبيق ما من الوصول إليها بواسطة تطبيق آخر. يمكّن الخطأ ، الموجود في تطبيق Android Admin ، التطبيقات من تجاوز القيود وقراءة الملفات التعسفية باستخدام روابط رمزية.

يلاحظ Ars Technica أن سلسلة الثغرات الأمنية ، وصعوبة الحصول على إصلاحات مثبتة على أجهزة المستخدمين ، تؤثر سلبًا على نظام التشغيل Android. على الرغم من عدم وجود مؤشرات حاليًا على أن الثغرات الأمنية يتم استغلالها بالفعل ، إلا أن المستخدمين قلقون. ولسبب وجيه: حتى الإصدار التالي من Android ، الذي تم الإعلان عنه مؤخرًا باسم Marshmallow ، لن يعالج نموذج الأمان المعيب لنظام Android.

تقرير Ina Fried و Mark Bergen لـ Re / Code أن كلا من ثغرات Android الأخيرة 'تؤكد على صداع مزعج أنشأته جوجل مع نظام تشغيل يعتمد بشدة على شركاء الأجهزة ، وكثير منهم يكافح من أجل الحفاظ على الأرباح. ويظهر أن Google ستستمر في مواجهة المشكلات مع انتقال Android إلى الأجهزة الأخرى ، مثل السيارات والأجهزة القابلة للارتداء والتشغيل الآلي للمنزل '. لا تتحكم Google في عملية التحديث لنظام Android ، والتي تعتمد على صانعي الأجهزة وشركات الاتصالات اللاسلكية.

تشير Re / Code إلى أن مشكلات الأمان الحالية في Android تذكرنا بتلك التي واجهتها Microsoft مع Windows 'في الماضي'. وجد نظام التشغيل السائد نفسه هدفًا لهجمات مستمرة ، وكان العديد من الشركات متحفظًا على تحديث الخوادم وأجهزة الكمبيوتر الخاصة بهم دون اختبار مستقل. ولكن بينما أتيحت لهم الفرصة لتثبيت التحديثات بمجرد أن توفرها Microsoft ، فإن Google تطلق تصحيحات تذهب عادةً إلى الشركة المصنعة للهاتف ، وليس إلى المستخدم النهائي. غالبًا ما لا يقوم صانعو الهواتف ، الذين يعانون من الإجهاد في ظل الهوامش الضيقة والمنافسة الشديدة ، بتحديث الهواتف التي تم بيعها بالفعل. هذه مشكلة لشركات تصنيع الهواتف الذكية الكبيرة ومتعددة الجنسيات ، ومن المحتمل أن تكون مشكلة أكبر للشركات المصنعة المحلية الصغيرة التي تبيع الهواتف ذات الميزانية المحدودة.

نظرًا لأن تحديثات البرامج الرئيسية غالبًا ما تمر عبر شركات النقل ، الذين يقومون بإجراء الاختبارات الخاصة بهم ، فغالبًا ما تستغرق الإصدارات الرئيسية شهورًا للموافقة عليها ، إذا كانت متاحة على الإطلاق. يدرك الكثير في الصناعة أن تحديثات أمان Android تحتاج إلى نهج جديد ، وقد التزمت Google بالفعل بالتحديثات الشهرية ، وهو جدول وافقت Samsung و LG على دعمه. قالت Google مؤخرًا إنها ستدفع التحديثات الشهرية خصيصًا للأمان لأجهزة Nexus ، وهي الأجهزة الوحيدة التي يمكن لـ Google التحكم فيها بشكل كامل.