لقد كان الشهرين الماضيين مليئين بالكثير من عدم اليقين المحيط بسلسلة من القضايا المسماة على نطاق واسع رهبة المسرح، اسم مكتسب لأن معظم المشكلات التي تم العثور عليها لها علاقة بـ libstagefright في Android. نشرت شركة الأمان Zimperium ما يسمونه Stagefright 2.0 ، مع مشكلتين جديدتين تتعلقان بملفات mp3 و mp4 والتي يمكن التلاعب بها لتنفيذ تعليمات برمجية ضارة على هاتفك.
إليك ما نعرفه حتى الآن ، وكيفية الحفاظ على سلامتك.
ما هو Stagefright 2.0؟
وفقًا لـ Zimperium ، فإن زوجًا من الثغرات الأمنية المكتشفة مؤخرًا يجعل من الممكن للمهاجم تقديم هاتف Android أو جهاز لوحي بملف يشبه MP3 أو MP4 ، لذلك عندما تتم معاينة البيانات الوصفية لهذا الملف بواسطة نظام التشغيل ، يمكن لهذا الملف تنفيذه كود خبيث. في حالة هجوم Man in the Middle أو موقع ويب مصمم خصيصًا لتسليم هذه الملفات المشوهة ، يمكن تنفيذ هذا الرمز دون علم المستخدم مطلقًا.
تدعي Zimperium أنها أكدت التنفيذ عن بُعد ، ولفتت انتباه Google إلى هذا في 15 أغسطس. استجابةً لذلك ، عيّنت Google CVE-2015-3876 و CVE-2015-6602 إلى زوج من المشاكل المبلغ عنها وبدأت العمل على إصلاح.
هل يتأثر هاتفي أو جهازي اللوحي؟
بطريقة أو بأخرى ، نعم. يشير CVE-2015-6602 إلى ثغرة أمنية في libutils ، وكما يشير Zimperium في منشورهم الذي أعلن عن اكتشاف هذه الثغرة الأمنية ، فإنه يؤثر على كل هاتف يعمل بنظام Android و الجهاز اللوحي يعود إلى Android 1.0. يؤثر CVE-2015-3876 على كل هاتف أو جهاز لوحي يعمل بنظام Android 5.0 والإصدارات الأحدث ، ويمكن نظريًا تسليمه عبر موقع الويب أو عبر رجل في المنتصف هجوم.
لكن.
لا توجد حاليًا أمثلة عامة على استخدام هذه الثغرة الأمنية لاستغلال أي شيء خارج المختبر الشروط ، ولا يخطط Zimperium لمشاركة استغلال إثبات المفهوم الذي استخدموه لإثبات هذه المشكلة لهم جوجل. في حين أنه من المحتمل أن يتمكن شخص آخر من اكتشاف هذا الاستغلال قبل أن تصدر Google تصحيحًا ، إلا أنه من غير المحتمل أن تظل التفاصيل وراء هذا الاستغلال سرية.
ماذا تفعل جوجل حيال هذا؟
وفقًا لبيان صادر عن Google ، يعالج التحديث الأمني لشهر أكتوبر كلا من هاتين الثغرتين. سيتم إجراء هذه التصحيحات في AOSP وسيتم طرحها لمستخدمي Nexus اعتبارًا من 5 أكتوبر. ربما لاحظ قراء Eagle Eyed أن Nexus 5X و Nexus 6P اللذين نظرنا إليهما مؤخرًا كانا بالفعل في الخامس من أكتوبر تم تثبيت التحديث ، لذلك إذا طلبت مسبقًا أحد هذه الهواتف ، فسيصل جهازك مصححًا مقابل هذه نقاط الضعف. معلومات إضافية عن التصحيح ستكون في مجموعة Google لأمان Android في الخامس من أكتوبر.
بالنسبة للهواتف بخلاف Nexus ، قدمت Google تحديث الأمان لشهر أكتوبر للشركاء في 10 سبتمبر ، وتعمل مع الشركات المصنعة للمعدات الأصلية وشركات الجوال لتسليم التحديث في أقرب وقت ممكن. إذا ألقيت نظرة على قائمة الأجهزة التي تم تصحيحها في آخر ثغرة Stagefright ، فلديك صورة معقولة عن الأجهزة التي تعتبر أولوية في هذه العملية.
كيف أبقى آمناً حتى وصول التصحيح لهاتفي أو جهازي اللوحي؟
في حالة قيام شخص ما بالركض مع استغلال Stagefright 2.0 ومحاولة إصابة مستخدمي Android ، وهو أمر غير مرجح مرة أخرى بسبب بسبب نقص التفاصيل العامة ، فإن مفتاح البقاء في أمان له علاقة بكل شيء مع الانتباه إلى المكان الذي تتصفح فيه وما تتصل به.
تجنب الشبكات العامة قدر الإمكان ، واعتمد على المصادقة ذات العاملين كلما أمكن ذلك ، وابتعد قدر الإمكان عن مواقع الويب المشبوهة. في الغالب ، عناصر ويب منطقية للحفاظ على سلامتك.
هل هذه هي نهاية العالم؟
ولا حتى قليلا. في حين أن جميع نقاط الضعف Stagefright خطيرة بالفعل وتحتاج إلى التعامل معها على هذا النحو ، التواصل بين Zimperium و Google لضمان معالجة هذه المشكلات في أسرع وقت ممكن كانت رائعة. لقد لفت Zimperium الانتباه عن حق إلى مشاكل Android ، وتدخلت Google لإصلاحها. في عالم مثالي ، لن تكون هذه الثغرات موجودة ، لكنها موجودة ويتم التعامل معها بسرعة. لا يمكن أن أطلب أكثر من ذلك بكثير ، بالنظر إلى الوضع الذي نحن فيه.