كشف باحث عن طريقة لاستغلال ثغرة تؤثر على مستخدمي أنرويد غوغل والتي يمكن بواسطتها سرقة البيانات.
كشف باحث أمني عن طريقة لاستغلال ثغرة تسرب البيانات تؤثر على مستخدمي أنرويد.
اكتشف إكسوكسيان جيانغ Xuxian
Jiang ، وهو بروفسور مساعد في جامعة نورث كارولاينا الثغرة وهو يعمل على
ما وصفه بمشروع متعلق بالأنرويد؛ وكتب في إحدى الاستشارات، أن الثغرة تؤثر
على أنرويد 2.3 وأنها من نفس طبيعة الثغرة التي اكتشفت السنة الماضية من
قبل الباحث توماس كانون على أنرويد 2.2.
وفي رسالة إلكترونية إلى
eWEEK يشرح جيانغ أن استغلاله لم يكن صعب التطبيق بشكل خاص، ولكنه يحتاج
إلى بعض المعرفة ببرمجة جافا وانرويد، ويضيف أن المسألة موجودة بشكل أساسي
في مستعرض أنرويد.
وأضاف على الاستشارة: "لدينا إثبات على استغلال مخزون هاتف نيكزوس إس
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ،
ونحن قادرون على استغلال الثغرة بنجاح لسرقة المعلومات الشخصية من الهاتف.
يُنفذ الهجوم من خلال الطلب من المستخدم زيارة رابط خبيث".
ويتابع: "مع الاستغلال، يمكن
للمهاجم أن يحصل على قائمة بالتطبيقات على جهاز المستخدم وتحميل التطبيقات
الموجودة في النظام وأقسام بطاقة إس دي إلى مخدّم بعيد. يستطيع المهاجم
أيضاً أن يقرأ ويحمّل أي ملف "مخزّن على بطاقة الهاتف إس دي "، طالما أنه
يعرف اسم الملف بالتحديد ومسار الدليل. لا يمكن للمهاجمين الاستيلاء على
جميع الملفات الموجودة على النظام ، لأن المهاجم ليس مستغل جذري، ولكنه
يعمل في ساحة الأنرويد" .
تقول الشركة أن جيانغ اتصل
بمتحدث من غوغل وتكلم معه بشأن الثغرة منذ يومين تقريباً وأنها طورت تصحيح
يمكن أن ينتج عنه تحديث جديد لصيانة أنرويد 2.3، ولكنه لم يحدد وقت معين
لإتاحة التحديث للمستخدمين.
قدم جيانغ بعض التخفيفات، مثل عدم تمكين الدعم لبرمجة الجافا مؤقتاً في مستعرض أنرويد أو استخدام مستعرض طرف ثالث عوضاً عنها.
ويخبرنا جيانغ من خلال eWEEK:
"ما أستطيع قوله في هذه النقطة هو أن التصحيح السابق قد صحح الاستغلال
الذي تم الإخبار عنه سابقاً، مع ذلك فهناك طرق أخرى لاستغلال نفس الثغرة
(أو ما يشبهها – هذا يعتمد على طريقة مقاربتك للمشكلة)، وكما أسلفت، فإن
التصحيح النهائي سيحتاج إلى تغيير بعض المكونات الأساسية في إطار أنرويد
نفسه ".