خطری بزرگ که گوشی‌های سامسونگ را تهدید می‌کند

زومیت نوشت: یک آسیب‌پذیری امنیتی بزرگ در اندروید به بدافزارها کمک می‌کند به‌عنوان برنامه‌های قابل‌اعتماد روی دستگاه‌ کاربران اجرا شوند؛ مشکلی که محصولات اندرویدی سامسونگ، ال‌جی و چند شرکت دیگر را تحت‌تأثیر قرار داده است.

یکی از کارمندان گوگل به نام لوکاس سیویرسکی، اطلاعاتی درمورد یک آسیب‌پذیری بزرگ در سیستم‌عامل اندروید به‌اشتراک گذاشته که دستگاه‌های سامسونگ، ال‌جی و سایر شرکت‌های سازنده‌ی محصولات اندرویدی را تحت‌تأثیر قرار داده است.

هسته‌ی اصلی مشکل امنیتی جدید اندروید منجر به فاش‌شدن کلیدهای امضای پلتفرم محصولات چند شرکت مختلف شده است. این کلید که تولیدکنندگان محصولات اندرویدی آن را می‌سازند، برای اطمینان از قانونی بودن نسخه‌ی اندرویدی که روی دستگاه کاربر درحال اجرا است مورداستفاده قرار می‌گیرد و مهاجمان می‌توانند با سوءاستفاده از همین کلید، برنامه‌های دیگر را به‌طور جداگانه امضا کنند تا در سیستم‌عامل مذکور به‌عنوان اپلیکیشن‌های قانونی شناخته شوند.

اندروید ازنظر طراحی به همه‌ی برنامه‌هایی که با کلید ایجادشده ازطرف سازندگان محصولات مجهز به این سیستم‌عامل امضا شده‌اند، اعتماد می‌کند. مهاجمان می‌توانند برنامه‌های مخرب خود را با این کلید امضا کرده و بدین‌ترتیب مجوزهای کامل دسترسی درسطح سیستم را دراختیار خواهند داشت. درواقع می‌توان گفت این آسیب‌پذیری به مهاجم اجازه می‌دهد به همه‌ی داده‌های موجود روی دستگاه هدف خود دسترسی داشته باشد.

شایان‌ذکر است آسیب‌پذیری اعلام‌شده ازطرف سیویرسکی، فقط هنگام نصب یک برنامه‌ی جدید یا ناشناخته مورداستفاده قرار نمی‌گیرد. ازآنجاکه کلیدهای مهم پلتفرم سازندگان محصولات اندرویدی فاش‌شده است، این باگ در برخی موارد برای امضای برنامه‌های رایج ازجمله بیکسبی (Bixby) که روی برخی گوشی‌های غول فناوری کره‌ی جنوبی وجود دارد نیز استفاده می‌شود و مهاجم می‌تواند با این اقدام، بدافزار موردنظر خود را به‌عنوان برنامه‌ی قابل‌اعتماد به دستگاه کاربر اضافه کند و درنتیجه بدافزار مذکور با همان کلید امضا خواهد شد و اندروید به آن اعتماد خواهد کرد. این روش بدون درنظر گرفتن این‌که یک برنامه ابتدا از گوگل‌پلی یا گلکسی‌استور روی گوشی کاربر نصب شده باشد یا با دانلود مستقیم از منابع دیگر، کار می‌کند.

البته گوگل مشخص نکرده است که کدام دستگاه‌ها یا شرکت‌های سازنده‌ی محصولات اندرویدی تحت‌تأثیر مشکل امنیتی اخیر سیستم‌عامل این شرکت قرار گرفته‌اند؛ اما هش (Hash) فایل‌های بدافزار نمونه را به‌ما نشان می‌دهد. به‌طور خلاصه، فایل‌های آلوده که در پلتفرم VirusTotla آپلود شد، اغلب نام شرکت آسیب‌پذیر را نیز نشان می‌دهد و این یعنی کلیدهای امضای آن برند فاش شده است. البته باید اشاره کنیم این مشکل همچنان روی محصولات اندرویدی برخی شرکت‌ها شناسایی نشده است. درحال‌حاضر دستگاه‌های سامسونگ، ال‌جی، مدیاتک، szroco (سازنده‌ی تبلت‌های والمارت Onn) و Revoview تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند.

با توجه به توضیح مختصر گوگل درمورد آسیب‌پذیری مرتبط با فاش‌شدن کلید امضای پلتفرم شرکت‌های سازنده‌ی دستگاه‌های اندرویدی، اولین گام این است که هریک از این برندها کلیدهای مذکور را تغییر دهند تا مهاجمان دیگر نتوانند از آن‌ها سوءاستفاده کنند. به‌هرحال انجام منظم این اقدام برای به‌حداقل رساندن اثرات این مشکل امنیتی، مفید خواهد بود.

گوگل از همه‌ی سازندگان محصولات اندرویدی درخواست کرده است تعداد دفعات استفاده از کلید پلتفرم‌های خود را برای امضای برنامه‌های دیگر، به‌میزان درخورتوجهی کاهش دهند. فقط برنامه‌ای که به بالاترین سطح مجوز نیاز دارد باید با کلید مذکور امضا شود تا بدین‌ترتیب از بروز مشکلات امنیتی احتمالی جلوگیری شود.

گوگل می‌گوید از زمانی‌که مشکل فاش‌شدن کلیدهای امضای پلتفرم سازندگان دستگاه‌های اندرویدی در ماه می ۲۰۲۲ گزارش شد، سامسونگ و سایر شرکت‌های آسیب‌دیده، اقدامات اصلاحی را برای به‌حداقل رساندن تأثیر آن روی کاربران خود انجام داده‌اند. به گفته‌ی APK Mirror هدف از این اقدام غول فناوری کره‌ای دقیقاً مشخص نیست زیرا برخی کلیدهای آسیب‌پذیر طی چندروز گذشته در برنامه‌های اندرویدی این شرکت مورد استفاده قرار گرفته‌اند.

درحالی‌که اطلاعیه‌ی گوگل نشان می‌دهد آسیب‌پذیری فوق در می ۲۰۲۲ گزارش شده است، برخی از نمونه‌های بدافزار برای اولین‌بار در اوایل سال ۲۰۱۶ در پلتفرم VirusTotal بررسی شدند. هنوز نمی‌دانیم چنین مشکلی در آن زمان باعث سوءاستفاده‌های مرتبط و فعال روی برخی دستگاه‌ها شده است یا خیر.

گوگل در بیانیه‌ی خود تصریح کرد که دستگاه‌های افراد دربرابر آسیب‌پذیری مذکور به‌روش‌های انگشت‌شماری قابل محافظت هستند که ازجمله می‌توان به سیستم امنیتی Play Protect گوگل‌پلی اشاره کرد.