خانهاخبار
آسیب‌پذیری اپ دوربین صدها میلیون گوشی اندرویدی را به خطر می‌اندازد

آسیب‌پذیری اپ دوربین صدها میلیون گوشی اندرویدی را به خطر می‌اندازد

شرکتی امنیتی به نام Checkmarx به‌تازگی در گزارشی اعلام کرده که اپلیکیشن دوربین گوگل و سامسونگ آسیب‌پذیری امنیتی خطرناکی دارند که صدها میلیون گوشی اندرویدی را تحت‌الشعاع قرار می‌دهد.
۱۳۹۸/۹/۱

شرکت امنیت اینترنت Checkmarx به‌تازگی آسیب‌پذیری خطرناکی را در رابطه با مجوزهای اندروید کشف کرده است. این شرکت پس از تحقیق روی پیکسل ۲ ایکس ال و پیکسل ۳ می‌گوید این آسیب‌پذیری در اپلیکیشن دوربین سایر موبایل‌های اندرویدی از جمله موبایل‌های سامسونگ نیز وجود دارد. در نتیجه شمار کاربرانی که به این آسیب‌پذیری مبتلا هستند حدود صدها میلیون در نظر گرفته می‌شود.

مدیر مرکز تحقیقات امنیتی Checkmarx، ارِز یالون، می‌گوید:

تیم ما روشی برای دستکاری برخی عملیات‌ها پیدا کرده که به هر اپلیکیشنی، حتی بدون مجوزهای لازم، اجازه می‌دهد اپ Google Camera را کنترل کند. این تکنیک روی اپ دوربین سامسونگ هم قابل اجراست.

مهاجم با استفاده از این روش می‌تواند دوربین دستگاه قربانی را حتی در زمانی که دستگاه قفل یا صفحه آن خاموش است، وادار به گرفتن عکس یا ویدیو کند. حتما تا الان متوجه میزان اهمیت این آسیب‌پذیری شده‌اید. محققان Checkmarx توانسته‌اند از راه دور حتی موبایلی را که مشغول انجام تماس تلفنی بوده وادار به ثبت عکس و فیلم کنند. این آسیب‌پذیری موجب نادیده گرفتن مجوزهای سیستم می‌شود و به همین خاطر بدافزارها می‌توانند تصاویر یا ویدیوهای ثبت‌شده را در حافظه سیستم ذخیره کنند. علاوه بر این، اگر موقعیت مکانی کاربر در اپ دوربین مشخص شده باشد، مهاجم می‌تواند به آن دسترسی پیدا کند، اما از آن سو هیچ‌کس نمی‌تواند متوجه شود که خود مهاجم از کجا دست به این حمله زده است.

پیامدهای خطرناک این آسیب‌پذیری

شرکت Checkmarx برای نمایش میزان خطر این آسیب‌پذیری اپلیکیشنی طراحی کرده که هیچ مجوز خاصی به جز مجوز ذخیره‌سازی لازم ندارد. این اپ دو قسمت دارد: یکی همان بدافزاری است که روی دستگاه اندرویدی قربانی نصب می‌شود، و دیگری ابزار کنترل و صدور فرمان است که در سرور مهاجم قرار می‌گیرد. اپلیکیشن Checkmarx خود را به جای یک برنامه هواشناسی جا می‌زند که در اصل به سرور وصل شده و منتظر فرمان‌های مهاجم می‌ماند. این ارتباط حتی در صورت بسته شدن اپلیکیشن هم برقرار باقی می‌ماند.

image

مهاجم با استفاده از سرور می‌تواند دستگاه‌های آسیب‌پذیر را ببیند و از آن‌ها بخواهد که پس از ثبت عکس یا ویدیو آن را برایش ارسال کنند. او قادر است با کمک GPS برچسب مکانی به فایل‌ها اضافه کند تا موقعیت قربانی را به دست آورد. تمام این اتفاقات بی‌سروصدا رخ می‌دهد و مهاجم حتی می‌تواند در مکالمات تلفنی صدای طرف مقابل را هم داشته باشد.

Checkmarx این مشکل را به اطلاع گوگل رسانده و گوگل نیز در پاسخ گفته که این آسیب‌پذیری محدود به خط تولید پیکسل نیست و در گستره وسیعی از اکوسیستم اندروید وجود دارد. سامسونگ هم تایید کرده که اپلیکیشن دوربین آن‌ها ایراد دارد. این دو شرکت می‌گوید در حال انجام اقدامات لازم برای رفع این آسیب‌پذیری هستند.

گوگل در بیانیه‌ای پیرامون این موضوع گفت:

ما از Checkmarx بابت بیان این مسئله تشکر می‌کنیم و مشغول کار با شرکای اندروید هستیم تا از افشای این مشکل جلوگیری کنیم. این آسیب‌پذیری با انتشار آپدیتی در ماه ژوئیه ۲۰۱۹ برای اپلیکیشن Google Camera برطرف شده. همچنین آپدیتی در دسترس تمامی شرکای ما قرار گرفته است.

اگر شرکت Checkmarx این آسیب‌پذیری را به اطلاع گوگل نمی‌رساند و هکرهای خرابکار به آن دسترسی پیدا می‌کردند، مطمئنا مشکلات بسیار زیادی کاربران پرشمار دستگاه‌های اندرویدی را تهدید می‌کرد. این شرکت می‌گوید اگر می‌خواهید در امان بمانید و به دردسر نیفتید، بهتر است همین حالا تمام اپلیکیشن‌های خود را آپدیت کنید و همواره آن‌ها را به‌روز نگه دارید.

اخبار مشابه

برای ثبت نظر خود وارد حساب کاربری شوید.

دیدگاه‌ها (1 نظر)

ارسان

۱۳۹۸/۹/۱
ما چیکار کنیم که جدیدا حتی برای آپدیت از طریق گوگل پلی هم به مشکل خوردیم.
حدود ۳.۴ ماهه دیگه نمیشه تمام نرم افزار هارو آپدیت کرد بدون قند شکن.