Android News
الروبوت المركزي

عثرت Google على ثغرة أمنية خطيرة في Android، وربما تنتظر إصلاحها

الروبوت المركزي
protection click fraud

ما تحتاج إلى معرفته

  • عثرت شركة جوجل على ثغرة أمنية في نظام أندرويد تسمح بتنفيذ تعليمات برمجية عن بعد، ووصفتها بأنها "ثغرة أمنية خطيرة".
  • الثغرة الأمنية هي ما يعرف بعيب "النقرة الصفرية"، مما يعني أنها لا تتطلب أي تفاعل لاستغلالها.
  • تقدم Google لمصنعي الأجهزة الأصلية حلاً من خلال مشروع Android Open Source Project، ولكن سيكون الأمر متروكًا لكل صانع هواتف لشحن التحديثات إلى هواتفهم الذكية.

قالت شركة جوجل في ديسمبر الماضي إنها اكتشفت "ثغرة أمنية خطيرة" في نظام أندرويد تتيح للمتسلل عن بعد تنفيذ تعليمات برمجية على هاتفك. نشرة أمان Android. لقد قامت الشركة بالفعل بتزويد الشركات المصنعة لهواتف Android بإصلاح، ولكن سيتعين على كل شركة OEM إرسال التحديث الخاص بها لتصحيح الخلل الأمني.

تم تعيين الخطأ CVE-2023-40088 في ال قاعدة بيانات الضعف الوطنية، والذي يوفر المزيد من المعلومات. وفقًا لتقرير NVD، تظهر المشكلة عندما يحاول هاتف Android تشغيل ملف callback_thread_event ل com_android_bluetooth_btservice_AdapterService.cpp. أثناء هذا الإجراء، من الممكن أن تتلف الذاكرة بسبب ثغرة أمنية بعد الاستخدام.

في الأساس، تؤدي هذه المشكلة إلى وصول هواتف Android

com_android_bluetooth_btservice_AdapterService.cpp دون إذن بعد أن تم بالفعل إلغاء تخصيص ذاكرة النظام. قد يسمح هذا للمتسلل عن بعد بالوصول إلى هاتف أندرويد، تنفيذ التعليمات البرمجية دون الحاجة إلى أي إجراء من جانب المستخدم.

في حين أن هذا الخلل يمكن تنفيذه عن بعد، فمن الجدير بالذكر أن المهاجم المحتمل يجب أن يكون قريبًا نسبيًا منك حتى يعمل. يمكن استغلاله عبر اتصال Wi-Fi أو Bluetooth أو NFC اللاسلكي.

أرسلت Google إصلاحًا لإصدارات Android 11 و12 و12L و13 والأحدث أندرويد 14 عبر ال مشروع أندرويد مفتوح المصدر. من المفترض أن هذا يعني أن هواتف Android التي تعمل بهذه الإصدارات تتأثر بهذا الخطأ. نظرًا لأن هذه المشكلة تسمح بتنفيذ التعليمات البرمجية عن بُعد دون الحاجة إلى تفاعل المستخدم، فهي واحدة من أخطر أنواع الثغرات الأمنية.

لم تحدد Google ولا NVD ما إذا كان قد تم استغلال الخطأ بشكل نشط في البرية. عادةً ما يتم ذكر ذلك في حالة استغلال ثغرة أمنية، لكننا لا نعرف ذلك على وجه اليقين. ولم تقم Google بإضافة أي سياق آخر للثغرة الأمنية، وهو أمر متوقع. من المحتمل ألا تقدم الشركة مزيدًا من المعلومات حتى يتم تصحيح المشكلة وتحديث غالبية الأجهزة النشطة.

ومع ذلك، نظرًا لأنه سيتم إصدار التصحيح من خلال AOSP، فلن ترى تحديثًا على الفور. سيتم إرسال التحديث خلال اليومين المقبلين، ولكن يجب على كل مصنع Android OEM إرسال الإصلاح بعد ذلك. يمكن أن تكون هواتف Pixel هي أول من يتلقى التصحيح، ولكن يمكن أن تختلف الجداول الزمنية بالنسبة للعلامات التجارية الأخرى.

نظرًا لخطورة هذه المشكلة، ترقب التحديث الأمني ​​هذا الشهر إذا كنت تستخدم هاتفًا ذكيًا يعمل بنظام Android.

الفئات

آخر مشاركة مدونة

اقرا الان
instagram story viewer