أجهزة تعمل بنظام التشغيل Android من Qualcomm تعاني من أربعة عيوب تجذير

من المرجح أن مئات الملايين من أجهزة Android المستندة إلى شرائح كوالكوم معرضة لنقطة واحدة من أربع نقاط ضعف حرجة على الأقل تسمح للتطبيقات غير المميزة بالاستيلاء عليها.

تم تقديم العيوب الأربعة من قبل الباحث الأمني ​​آدم دونينفيلد من شركة Check Point Software Technologies يوم الأحد في مؤتمر DEF CON الأمن في لاس فيغاس. تم إبلاغها لشركة Qualcomm بين شهري فبراير وأبريل ، ومنذ ذلك الحين ، أصدرت شركة تصنيع الرقاقات إصلاحات لضعفها بعد تصنيفها على أنها عالية الخطورة.

للأسف ، هذا لا يعني أن جميع الأجهزة محمية حتى الآن. نظرًا لتجزئة نظام Android ، تقوم العديد من الأجهزة بتشغيل إصدارات أقدم من Android ولم تعد تتلقى تحديثات للبرامج الثابتة ، أو أنها تتلقى الإصلاحات مع تأخيرات تمتد لأشهر.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows الخاص بك]

حتى Google ، التي تطلق تصحيحات الأمان لخط Nexus من هواتف Android وأجهزة الكمبيوتر اللوحية على أساس شهري ، قامت بإصلاح جميع العيوب.

تم وصف الثغرات الأمنية الجماعية بشكل رباعي QuadRooter لأنه إذا تم استغلالها ، فإنها توفر للمهاجمين امتيازات الجذر - أعلى امتيازات على نظام Linux مثل Android. يتم تتبعها بشكل فردي على أنها CVE-2016-2059 و CVE-2016-2503 و CVE-2016-2504 و CVE-2016-5340 ، وهي موجودة في العديد من برامج التشغيل التي توفرها شركة كوالكوم لمصنعي الأجهزة.

وقد أصدرت شركة كوالكوم بقع هذه الثغرات على العملاء والشركاء بين أبريل ويوليو ، حسبما قال أليكس جانتمان ، نائب رئيس الهندسة لمبادرة أمن المنتج كوالكوم ، في بيان مرسل عبر البريد الإلكتروني.

وفي الوقت نفسه ، لم توزع Google سوى ثلاثة من هذه الرقع حتى الآن من خلال نشرات أمان Android الشهرية لأجهزة Nexus. تتم مشاركة تحديثات الأمان التي أصدرتها Google مع جهات تصنيع الهواتف مسبقًا ويتم نشرها أيضًا في مشروع Android Open Source (AOSP).

يجب حماية الأجهزة التي تعمل بنظام التشغيل Android 6.0 (Marshmallow) بمستوى تصحيح في 5 أغسطس. CVE-2016-2059 ، CVE-2016-2503 ، وعيوب CVE-2016-2504. يجب أن تحتوي أجهزة Android التي تعمل بنظام 4.4.4 (KitKat) و 5.0.2 و 5.1.1 (Lollipop) التي تتضمن تصحيحات 5 أغسطس أيضًا على رقع CVE-2016-2503 و CVE-2016-2504 ، ولكنها ستكون عرضة إصدار CVE-2016-2059 يستفيد من أن Google قد تم الإبلاغ عنها على أنها منخفضة الخطورة بسبب عمليات التخفيف الحالية.

الضعف الرابع ، CVE-2016-5340 ، لا يزال غير مزوّد من قِبل Google ، ولكن يمكن لمصنعي الأجهزة الحصول على الإصلاح له مباشرة من مشروع Qualcomm's Aurora مفتوح المصدر.

"سيتم تناول هذا الخطأ في نشرة أمان Android القادمة ، على الرغم من أن شركاء Android يمكنهم اتخاذ إجراء عاجل من خلال الإشارة إلى التصحيح العام الذي قدمته شركة Qualcomm" ، على حد قول أحد ممثلي Google عبر البريد الإلكتروني. وقالت الشركة إن استغلال أي من نقاط الضعف الأربعة هذه سيشمل المستخدمين الذين يقومون بتنزيل تطبيقات ضارة.

"تساعدنا تطبيقات التحقق من الصحة وحمايتنا في SafetyNet في التعرف على التطبيقات التي تستغل نقاط الضعف مثل هذه" ، ومنعها ، وإزالتها.

هذا صحيح أن استغلال العيوب لا يمكن أن يتم إلا من خلال التطبيقات المارقة وليس مباشرة من خلال نواقل الهجوم عن بعد مثل التصفح أو البريد الإلكتروني أو الرسائل النصية القصيرة ، ولكن هذه التطبيقات الخبيثة لا تتطلب أي امتيازات ، وفقا لنقطة الشيك.

اختلف الباحثون عن نقطة التفتيش وجوجل حول شدة CVE-2016-2059. في حين صنفت شركة كوالكوم الخلل على أنه شديد الخطورة ، فقد صنفته Google على أنه منخفض الخطورة لأنها قالت أنه يمكن التخفيف منه من خلال SELinux.

SELinux هو امتداد للنواة يجعل استغلال نقاط الضعف معينة أصعب بكثير من خلال فرض ضوابط الوصول. تم استخدام الآلية لفرض حدود sandbox التطبيق بدءاً من Android 4.3 (Jelly Bean).

لا تتفق ميزة Check Point مع تقييم Google على أن SELinux تخفف من هذا الخطأ. خلال محادثة دونفيلد في DEF CON ، أظهر كيف يمكن لاستغلال CVE-2016-2059 تحويل SELinux من فرضه إلى الوضع المتساهل ، مما يؤدي إلى تعطيل حمايته بشكل فعال.

من الصعب تحديد الأجهزة التي تكون عرضة للخطر نظرًا لأن بعض الشركات المصنعة قد تنتظر Google الافراج عن التصحيح المفقود قبل إصدار تحديثات البرامج الثابتة الخاصة بهم ، في حين أن الآخرين قد يأخذ مباشرة من كوالكوم. للمساعدة في تحديد الأجهزة الضعيفة ، أصدرت Check Point تطبيقًا مجانيًا يسمى QuadRooter Scanner على Google Play يتيح للمستخدمين التحقق مما إذا كانت أجهزتهم تتأثر بأي من العيوب الأربعة.