ماذا لو تمكن المتسللون من أخذ تطبيق شرعي حالي أو تحديثه بتوقيع رقمي صالح ، و تعديله لاستخدامه باعتباره حصان طروادة ضار للوصول إلى كل شيء على هاتف Android أو لوح؟ عندما اتصل باحثون من شركة ناشئة لأمن الأجهزة المحمولة تم الكشف عن Bluebox Security أنهم حددوا مثل هذه الثغرة التي أثرت على "99 بالمائة" من أجهزة Android ، فقد تصدرت عناوين الأخبار التقنية عبر الويب. لكن هل يجب أن تقلق؟
ما المشكلة؟
أوضح جيف فوريستال ، رئيس قسم التكنولوجيا في Bluebox ، في نشر على مدونة الشركة. وتابع مشيرًا إلى أن "... المتسلل يمكنه استغلال الثغرة الأمنية لأي شيء من سرقة البيانات إلى إنشاء شبكة روبوت متنقلة."
مقاطع الفيديو الموصى بها
ملفات APK ، أو حزمة تطبيقات Android ، معرضة للخطر لأن هذا الخلل يسمح للمتسللين بتغيير تطبيق أو تحديث شرعي ، مع الاحتفاظ بالتوقيع الرقمي الذي يؤكد أنه آمن. يمكنهم إنشاء تطبيق مزيف لسرقة كلمات المرور الخاصة بك واستخدام توقيع رقمي شرعي ، بحيث يعتقد هاتف Android الخاص بك أنه من صنع شركة مثل Samsung أو HTC أو حتى Google نفسها. نظرًا لأن الشركات المصنعة للأجهزة والشركاء الموثوق بهم ينتجون تطبيقات ذات وصول مميز إلى نظام Android الخاص بك ، فإن خطر حدوث شيء خبيث في طريقه إلى هاتفك أمر خطير للغاية.
متعلق ب
- 5 أشياء نود أن نراها في Google I / O 2023 (لكن ربما لن نراها)
- استرخ ، لن تحرمك قاعدة USB-C المخيفة للاتحاد الأوروبي من مزايا الشحن السريع
- أفضل تطبيقات حظر الإعلانات لنظام Android في عام 2022
ما الذي يتم فعله حيال هذا؟
كشف Bluebox عن خطأ أمان Android 8219321 إلى Google مرة أخرى في فبراير 2013. قامت Google بالفعل بتحديث متجر Play حتى يتم إجراء عمليات تدقيق لمنع أي تطبيقات ضارة باستخدام هذا الاستغلال. شاركت Google الخطأ مع شركائها في الأجهزة في Open Handset Alliance وأصدرت بعض الشركات المصنعة بالفعل تصحيحات لإصلاح هذه المشكلة الأمنية.
كيف يمكنني تجنب البرامج الضارة؟
إذا كنت حريصًا على عدم ترك هاتفك دون مراقبة وتثبيت التطبيقات والتحديثات فقط من لا يوجد إذن سبب حقيقي للقلق على Google Play لأنك لست في خطر من هذا يستغل. إذا كنت تريد التأكد من عدم تأثرك ، فانتقل إلى الإعدادات> الأمان وتأكد من إلغاء تحديد مربع السماح بالتثبيت من "مصادر غير معروفة".
لقد ناقشنا أساسيات أمان تطبيقات Android من قبل وما زالوا يطبقون. لا يستطيع المجرمون الآن استخدام متجر Google Play لنشر البرامج الضارة باستخدام هذا الاستغلال ، لذا أصبح تنزيل التطبيقات هناك آمنًا الآن. ما يجب تجنبه هو تثبيت التطبيقات أو التحديثات من مصادر أخرى - حتى متاجر تطبيقات Samsung أو Amazon - على الأقل في الوقت الحالي. تعد متاجر تطبيقات Android التابعة لجهات خارجية والروابط المباشرة على مواقع الويب هي طرق التسليم الأكثر احتمالًا ، ولكنها برامج ضارة يمكن أن تصل عبر البريد الإلكتروني ، أو حتى تنقل إلى جهازك عبر كابل USB (إذا قمت بتوصيل هاتفك بجهاز حاسوب).
تتمثل المشكلة الرئيسية لنشر البرامج الضارة على Android في حمل المستخدم على تنزيل شيء ما وتثبيته من مصادر غير آمنة (أسواق جهات خارجية معينة أو مباشرة من الويب) ، "Maik Morgenstern ، من معهد الأمان المستقل ، AV-Test ، أوضح لنا. "الثغرة التي تم الإبلاغ عنها لا" تساعد "مؤلفي البرامج الضارة هنا بأي شكل من الأشكال. سيظل هؤلاء يواجهون صعوبة في الحصول على إبداعاتهم في متجر Google Play ، وحتى إذا نجحوا ، فلن يتم إدراج تطبيقاتهم ضمن حساب المؤلف الأصلي بالطبع. [على سبيل المثال ،] إذا قاموا بإنشاء نسخة أحصنة طروادة من الطيورالغاضبة، فسيتم إدراجه ضمن اسم مؤلفي البرامج الضارة وليس ضمن Rovio. لذلك لن يتعثر المستخدمون بالكاد على هذه التطبيقات ذات أحصنة طروادة. إذا قام المستخدمون بتنزيل التطبيقات فقط من متجر Google Play ، فيجب أن يكونوا آمنين ".
لذا ، يمكنني الاسترخاء؟
تكمن مشكلة Android في أن Google يمكنها اتخاذ إجراءات لإصلاح العيوب ومآثر القرصنة ، ولكن لا يمكنها طرح تحديث على مستوى النظام.
أخبرنا Morgenstern "المشكلة الرئيسية هي سياسة التحديث للعديد من الشركات المصنعة". "لم تعد الأجهزة القديمة تتلقى تحديثات بعد الآن (لذلك ستظل هذه الأجهزة عرضة للاختراق) وحتى التحديثات للأجهزة الجديدة قد تستغرق شهورًا."
الأمر متروك للمصنعين الفرديين وشركات الجوال (AT&T ، Verizon ، T-Mobile ، Sprint ، إلخ) لدفع التحديثات إلى الأجهزة. من الشائع أن يتم ترك أجهزة Android القديمة وراءها. إذا كان لديك جهاز قديم معرض للخطر ولم تكن سعيدًا بالالتزام بـ Google Play ، فقد تتعرض لبعض الوقت في المستقبل.
تحديث 7-9-2013: نصيحة من Bluebox
بعد نشر هذا المقال ، اتصل بنا Bluebox. إنهم يحثون المستخدمين على أن أفضل طريقة لتقليل مخاطر هذه الثغرة الأمنية هي "تحقق مع الشركة المصنعة لجهازك أو شركة الجوال الخاصة بك بشأن طراز جهاز Android المحدد الخاص بك وإصدار نظام التشغيل لمعرفة ما إذا تم توفير تحديث / إصلاح حديث. " يشيرون أيضًا إلى أنك قد تحتاج إلى التحقق من ملاحظات الإصدار للتأكد من تضمين إصلاح في ملف تحديث. إذا لم تتمكن من العثور على واحد لجهازك ، يقترحون أنه يجب عليك تجنب تثبيت أي شيء من خارج Google Play في الوقت الحالي.
يخطط كبير مسؤولي التكنولوجيا في Bluebox ، Jeff Forristal ، لإصدار التفاصيل الفنية للمشكلة في حديثه في بلاك هات الولايات المتحدة الأمريكية 2013 في نهاية الشهر. يبقى أن نرى كيف سيكون رد فعل بائعي أجهزة Android الرئيسيين. سوف نبقيك على اطلاع.
نُشرت المقالة في الأصل في 7-8-2013.
توصيات المحررين
- لا تفوت فرصتك للحصول على جهاز Lenovo Android اللوحي مقابل 120 دولارًا
- لن تصدق مدى رخص تكلفة جهاز iPad هذا بفضل Cyber Monday
- تريدك Google أن تعرف أن تطبيقات Android لم تعد مخصصة للهواتف بعد الآن
- أفضل شيء في Android 13 ليس ميزة أو إعدادًا جديدًا - إنه شيء آخر
- الشحن اللاسلكي لا يعمل على هاتف Pixel الخاص بك مع Android 13؟ لست وحدك
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والافتتاحيات الثاقبة والنظرات الخاطفة الفريدة من نوعها.
