تم إنشاء هاتفك من عدد لا يحصى من الأجزاء المتنوعة ، والعديد منها "ذكي" ويحتوي على معالجات وبرامج ثابتة مدمجة. هذا يعني أن هناك الكثير من الأماكن التي يمكن اكتشاف الأخطاء فيها أو نقاط الضعف والتي من شأنها أن تسمح لممثل سيء بالوصول إلى الأشياء التي لا ينبغي له ذلك. تحاول الشركات التي تصنع هذه الأجزاء دائمًا تحسين وتقوية الأشياء لمنع ذلك ، لكن هذا صحيح من المستحيل عليهم العثور على كل شيء قبل أن يغادر أحد المكونات المختبر وينتهي به المطاف على خط التجميع.
يتم تصحيح معظم برمجيات إكسبلويت قبل أن يعلم أي شخص بوجودها ، لكن بعضها ينجح.
هذا يجعل العثور على هذه الأخطاء ونقاط الضعف صناعة بحد ذاتها. في DEFCON 27 و Black Hat 2019 ، الأماكن الضخمة التي يتم فيها الإعلان عن الثغرات وإظهارها (ونأمل أن يتم تصحيحها) ، كانت هناك ثغرة أمنية في رقائق Qualcomm أعلن عنها فريق Tencent Blade من شأنه أن يسمح للمهاجم بالوصول عبر النواة ويحتمل أن يدخل إلى هاتفك ويسبب ضررًا. والخبر السار هو أنه تم الإعلان عنه بمسؤولية وعملت Qualcomm مع Google لإصلاح المشكلة مع نشرة أمان Android ، أغسطس 2019.
تقدم Verizon Pixel 4a مقابل 10 دولارات شهريًا فقط على خطوط جديدة غير محدودة
إليك كل ما تحتاج لمعرفته حول QualPwn.
ما هو QualPwn؟
إلى جانب كونه اسمًا مضحكًا ، يصف QualPwn ثغرة أمنية في رقائق Qualcomm من شأنها أن تسمح للمهاجمين باختراق هاتف عبر WLAN (شبكة المنطقة المحلية اللاسلكية) والمودم الخلوي عن بُعد. منصة Qualcomm محمية بواسطة Secure Boot ، لكن QualPwn يهزم Secure Boot ويمنح المهاجم الوصول إلى المودم بحيث يمكن تحميل أدوات تصحيح الأخطاء والتحكم في النطاق الأساسي.
بمجرد حدوث ذلك ، يكون ممكن يمكن للمهاجم استغلال النواة التي يعمل Android فوقها والحصول على امتيازات عالية - يمكنهم الوصول إلى بياناتك الشخصية.
ليس لدينا كل التفاصيل حول كيفية حدوث ذلك أو مدى سهولة حدوثه ، لكن هؤلاء سيأتون أثناء ذلك عروض Tencent Blade's Black Hat 2019 و DEFCON 27.
ما هي شبكة WLAN؟
WLAN تعني شبكة المنطقة المحلية اللاسلكية وهو اسم شامل لأي مجموعة من الأجهزة - بما في ذلك الهواتف المحمولة - التي تتواصل مع بعضها البعض لاسلكيًا. يمكن لشبكة WLAN استخدام شبكة Wi-Fi أو شبكة خلوية أو نطاق عريض أو Bluetooth أو أي نوع لاسلكي آخر للتواصل وكانت دائمًا نقطة جذب للأشخاص الذين يبحثون عن مآثر.
نظرًا لأن العديد من أنواع الأجهزة المختلفة يمكن أن تكون جزءًا من شبكة WLAN ، فهناك معايير محددة جدًا حول كيفية إنشاء اتصال والحفاظ عليه. يحتاج هاتفك ، بما في ذلك مكونات مثل رقائق Qualcomm ، إلى دمج هذه المعايير واتباعها. مع تقدم المعايير وإنشاء أجهزة جديدة ، يمكن أن تحدث الأخطاء ونقاط الضعف في كيفية إنشاء الاتصالات.
هل تم إصلاح QualPWN؟
نعم. نشرة أمان Android لشهر أغسطس 2019 لها كل الكود المطلوب لتصحيح الأجهزة المتأثرة من Qualcomm. بمجرد أن يحصل هاتفك على تصحيح أغسطس 2019 ، فأنت في أمان.
ما هي الأجهزة المتأثرة؟
لم يختبر فريق Tencent Blade كل هاتف يستخدم شريحة Qualcomm ، فقط بكسل 2 و بكسل 3. كلاهما كان ضعيفًا ، لذا فإن جميع الهواتف التي تعمل على منصات Snapdragon 835 و 845 هي كذلك المحتمل تتأثر كحد أدنى. يمكن تطبيق الكود المستخدم لتصحيح QualPwn على أي هاتف يعمل بمعالج Qualcomm ونظام Android 7.0 أو أعلى.
حتى يتم إصدار جميع التفاصيل ، من الآمن افتراض أن جميع شرائح Snapdragon الحديثة يجب اعتبارها معرضة للخطر حتى يتم تصحيحها.
هل تم استخدام QualPwn في العالم الحقيقي؟
تم الكشف عن هذا الاستغلال بشكل مسؤول لشركة Google في مارس 2019 ، وبمجرد التحقق من ذلك تم إرساله إلى Qualcomm. كوالكوم أبلغت شركائها وأرسلت الكود لتصحيحه في يونيو من عام 2019 ، وتم تصحيح كل قطعة من السلسلة بالشفرة المستخدمة في نشرة Android الأمنية لشهر أغسطس 2019.
لم يتم الإبلاغ عن حالات استغلال QualPwn في البرية. أصدرت شركة Qualcomm أيضًا البيان التالي بخصوص هذه المشكلة:
يعد توفير التقنيات التي تدعم الأمان والخصوصية القويين من أولويات Qualcomm. نثني على الباحثين الأمنيين من Tencent لاستخدامهم ممارسات الكشف المنسقة وفقًا لمعايير الصناعة من خلال برنامج مكافآت الثغرات الأمنية. أصدرت Qualcomm Technologies بالفعل إصلاحات لمصنعي المعدات الأصلية ، ونحن نشجع المستخدمين النهائيين على تحديث أجهزتهم عندما تصبح التصحيحات متاحة من المصنّعين الأصليين للأجهزة.
ماذا علي أن أفعل حتى أحصل على التصحيح؟
لا يوجد أي شيء يمكنك القيام به الآن. تم وضع علامة على القضايا كـ حرج بواسطة Google و Qualcomm وتم تصحيحهما على الفور ، لذا عليك الآن انتظار الشركة التي صنعت هاتفك لتوصيله إليك. هواتف Pixel ، مثل Pixel 2 و 3 ، إلى جانب بعض الهواتف الأخرى من Essential و OnePlus ، يتوفر بها التصحيح بالفعل. من المحتمل أن يستغرق الآخرون من Samsung و Motorola و LG وغيرهم من بضعة أيام إلى بضعة أسابيع ليتم دفعهم إلى الهواتف.
في غضون ذلك ، اتبع نفس أفضل الممارسات التي يجب أن تستخدمها دائمًا:
- استخدم دائمًا شاشة قفل قوية
- لا تتبع أبدًا رابطًا من شخص لا تعرفه ولا تثق به
- لا ترسل أبدًا أي تفاصيل شخصية إلى مواقع الويب أو التطبيقات التي لا تثق بها
- لا تعطي كلمة مرور Google الخاصة بك لأي شخص بخلاف Google
- لا تعيد استخدام كلمات المرور أبدًا
- استخدم دائمًا مدير كلمات مرور جيد
- استخدم المصادقة ذات العاملين كلما استطعت
المزيد: أفضل برامج إدارة كلمات المرور لنظام Android في عام 2019
قد لا تمنع هذه الممارسات استغلالًا من هذا النوع ، لكنها يمكن أن تخفف الضرر إذا حصل شخص ما على القليل من بياناتك الشخصية. لا تجعل الأمر سهلاً على الأشرار.
مزيد من المعلومات قادم
كما ذكرنا ، سيصدر فريق Tencent Blade جميع التفاصيل حول QualPwn خلال العروض التقديمية القادمة في كل من Black Hat 2019 و DEFCON 27. تتمحور هذه المؤتمرات حول أمان الأجهزة الإلكترونية وغالبًا ما تُستخدم لتفاصيل مآثر كهذه.
بمجرد أن توفر Tencent Blade مزيدًا من التفاصيل ، سنعرف المزيد حول ما يمكننا القيام به للتخفيف من أي مخاطر مع هواتفنا.
جيري هيلدنبراند
جيري هو الطالب الذي يذاكر كثيرا المقيم في Mobile Nation ويفتخر به. لا يوجد شيء لا يستطيع تفكيكه ، لكن هناك أشياء كثيرة لا يمكنه إعادة تجميعها. ستجده عبر شبكة Mobile Nations ويمكنك ذلك ضربه على تويتر إذا كنت تريد أن تقول مرحبًا.