أسبوع الأمان 09: من المسؤول عن أمان Android؟

كانت بضعة أخبار فقط الأسبوع الماضي تتعلق بأمن نظام Android. الأكثر أهمية هو دراسة أمان Samsung Smartphone التي أجراها فريق Google Project Zero. في طراز Samsung Galaxy A50 (وربما في نماذج أخرى أيضًا ، ولكن لم يتم التحقق من ذلك) ، قامت الشركة المصنعة بدمج كودها الخاص في نواة Linux ، المسؤولة عن مصادقة العملية. تم تصميم نظام Process Authenticator لتعزيز أمان الهاتف الذكي: عند بدء تشغيل التطبيقات وخدمات النظام ، فإنه يتحقق من التوقيع الرقمي.

يتم فحص عدد صغير نسبيًا من العمليات. وفقًا لصيغة التوقيع الفريدة ، وجد الباحث 13 قطعة فقط ، من بينها - خدمات للعمل مع Bluetooth و Wi-Fi. أنشأ خبير من Google سيناريو يتم فيه استدعاء نظام Process Authenticator "للتحقق" من تطبيق ضار ، ويسمح عدد من نقاط الضعف في كود Samsung بحقوق موسعة. يتم إعطاء مثال لقراءة البيانات من قاعدة بيانات الحسابات المصرح بها على الهاتف. الاستنتاج من هذا هو ما يلي: تعديل النواة من موفر (أي من Google) ليست دائمًا فكرة جيدة. وهنا تندرج مقالة فنية تمامًا في مستوى السياسة وتثير موضوع التفاعل بين المشاركين في نظام Android البيئي: من الذي يجب أن يكون مسؤولًا عن أمان البرامج ، وهل يجب على مطوري الهواتف الذكية تقييد تعديلات الشفرة لهذا الأمان بالذات؟

على الأقل فسرت وسائل الإعلام هذه الدراسة على أنها طلب مهذب من Google بعدم التدخل في الشفرة. في الدراسة ، تمت صياغته على النحو التالي: لا تلمس حتى القلب. من الناحية المثالية ، استخدم تقنيات تفاعل النواة الآمنة عند كتابة برامج تشغيل الجهاز. كما يقدم مثالًا آخر على عدم الكمال (بعبارة ملطفة) عمل بائع معين مع مطور Android. في سبتمبر 2018 ، تم اكتشاف خطأ في Linux kernel وتم إصلاحه قريبًا جدًا ، لكن التصحيح لم يصل إلى هاتف Samsung محدد مع تحديثات أمنية من نوفمبر 2019 (تم إصلاحه فقط مع تحديث فبراير هذا العام). بمعنى ، كانت لدى Samsung معلومات ، كان التصحيح متاحًا ، ولكن لسبب ما (ربما يكون تعارضًا مع الرمز الخاص بالشركة المصنعة) لم يتم استخدامه.

توضح هذه الدراسة المثيرة للاهتمام بالتفصيل كيف يعمل تجزئة نظام Android الأساسي وكيف يؤثر على الأمان مباشرة (تصل التحديثات في وقت متأخر) وبشكل غير مباشر (تتم إضافة رمز مخصص ، والذي قد يكون في حد ذاته عرضة للخطر). ومع ذلك ، لم يعد حل هذه المشكلة ، وكذلك تقييم جديتها ، مناقشة فنية ، بل بالأحرى مسألة مراعاة مصالح جميع الأطراف.

تتمثل المشكلة التقليدية لنظام Android البيئي في التطبيقات الضارة التي تدخل إلى متجر Play الرسمي. عثرت Check Point Research مؤخرًا على تسعة تطبيقات من المستودع بها نوع جديد من الشفرات الضارة المعروفة باسم Haken. يسمح لك بالتجسس على المستخدمين واشتراكهم في الخدمات المدفوعة. تمت إزالة Google في ينايرمن متجر Play 17 ألف تطبيق باستخدام منصة جوكر الخبيثة: تم إخفاء الرمز جيدًا ، واجتازت البرامج الاختبار بنجاح قبل النشر. في الأسبوع الماضي ، أزالت Google أكثر من 600 تطبيق لإعلانات مزعجة.

ماذا حدث أيضًا: ثغرة
حرجة أخرى في المكون الإضافي لـ WordPress. يمكن استخدام ملحق Duplicator للنسخ الاحتياطي ونقل الموقع لتنزيل الملفات العشوائية من الخادم بدون إذن ، بما في ذلك ، على سبيل المثال ، قاعدة بيانات لتسجيلات دخول المستخدم وكلمات المرور. صدر Adobe

تحديث غير عادي يغطي ثغرتين هامتين في After Effects. هدف غير متوقع لتحديث الطوارئ ، ولكن نقاط الضعف خطيرة - باستخدام ملف معد لهذا البرنامج ، يمكنك تنفيذ التعليمات البرمجية التعسفية. تسريبات

جديدة للبيانات: ظهرت قاعدة بيانات عملاء MGM Resorts على منتدى القراصنة. أكثر من 10 مليون إدخال تتضمن معلومات الزائر لزوار كازينو MGM Grand Las Vegas. أصبحت المعلومات الشخصية ومعلومات الاتصال ، ولكن ليس بيانات الدفع ، متاحة للجمهور. بين الضحايا ، كما هو متوقع ، العديد من المشاهير. دراسة مثيرة للاهتمام

حول ثغرة BlueKeep في التقنية الطبية المستندة إلى Windows. تم إغلاق هذا الخطأ في بروتوكول سطح المكتب البعيد قبل عام ، ولكن وفقًا لـ CyberMDX ، فإن أكثر من نصف الأجهزة الطبية لنظام التشغيل Windows تعمل على إصدارات نظام التشغيل التي لم يتم تحديثها.

وقد الأمازون حلقة أدخلت اثنين عامل التوثيق لمستخدمي الكاميرا . يرتبط الابتكار بعدد كبير من الهجمات على كلمات مرور المستخدم الضعيفة (أو القابلة لإعادة الاستخدام) ، ونتيجة لذلك يمكن للمفرقعات الوصول إلى بيانات الفيديو ويمكن أن تذهب مباشرة مع الضحايا. في ديسمبر ، تم أيضًا كتابة العديد من عمليات الاختراق هذه في وسائل الإعلام التقليدية.

بحث Eclypse يثير التحققتحديثات البرامج الثابتة لمختلف الأجهزة ، بما في ذلك ، على سبيل المثال ، لوحات اللمس ووحدات Wi-Fi لأجهزة الكمبيوتر المحمولة Lenovo و HP و Dell. يعني عدم وجود توقيع رقمي نظريًا أنه يمكنك وميض هذه الوحدة دون علم المستخدم ، وتجاوز نظام توصيل التحديث القياسي ، وفي الوقت نفسه إضافة وظائف ضارة إلى التعليمات البرمجية.