باحث بالأمن السيرياني يكتشف ثغرة في أندرويد بالصدفة
16-11-2022 02:32 PM
السوسنة - تمكن باحث في مجال الأمن السيبراني من الوصول لثغرة عن طريق الصدفة تؤثر في معظم الأجهزة العاملة بنظام التشغيل أندرويد التابع لشركة جوجل.
وأوضح الباحث، ديفيد شوتس: إنه وجد طريقة لتجاوز شاشة القفل في هاتفيه الذكيين، بكسل 6 وبكسل 5 من جوجل. وأضاف أن هذه الثغرة تتيح لأي شخص لديه وصول مادي إلى الجهاز أن يفتحه.
ووفق ما عرض شوتس في مقطع فيديو، فإن استغلال الثغرة الأمنية لتجاوز شاشة القفل في هواتف أندرويد عملية سهلة من خمس خطوات لن تستغرق أكثر من بضع دقائق.
وأصلحت جوجل المشكلة الأمنية في تحديث أندرويد الذي أُطلق الأسبوع الماضي، ولكن الثغرة ظلت متاحة للاستغلال لما لا يقل عن ستة أشهر.
ويقول شوتس: إنه اكتشف الثغرة بالصدفة بعد نفاد بطارية هاتفه بكسل 6. وبعد أن أدخل رقم التعريف الشخصي الخاص به ثلاث مرات خطأً، فقد تمكن من فتح قفل بطاقة SIM باستخدام رمز مفتاح فتح القفل الشخصي PUK. وبعد فتح بطاقة SIM واختيار رقم تعريف شخصي جديد، لم يطلب الجهاز كلمة مرور شاشة القفل، ولكنه طلب فقط مسح بصمة الإصبع.
وتطلب أجهزة أندرويد دائمًا كلمة مرور أو نمطًا لقفل الشاشة عند إعادة التشغيل لأسباب أمنية، لذلك لم يكن الانتقال مباشرة إلى إلغاء القفل ببصمة الإصبع أمرًا طبيعيًا.
وواصل الباحث إجراء التجارب، ولما عاود المحاولة دون إعادة تشغيل الجهاز، اكتشف أنه من الممكن الانتقال مباشرة إلى الشاشة الرئيسية، أي أنه تمكن من تجاوز بصمة الإصبع أيضًا، شريطة أن يكون مالك الجهاز قد ألغى قفله ما لا يقل عن مرة واحدة منذ إعادة تشغيله.
يُشار إلى أن تأثير هذه الثغرة الأمنية واسع جدًا، فهي تؤثر في جميع الأجهزة التي تعمل بإصدارات: 10، و11، و12، و13 من نظام التشغيل أندرويد، والتي لم تحصل على التحديث الأمني لشهر تشرين الثاني/ نوفمبر 2022.
ومع أن الوصول المادي إلى الجهاز يعد شرطًا أساسيًا لاستغلال الثغرة، إلا أنها لا تزال تحمل تداعيات خطرة، خاصةً على أصحاب الأجهزة المسروقة، أو الذين يُتاح للمهاجم الوصول إلى أجهزتهم. ويمكن للمهاجم استخدام بطاقة SIM الخاصة به على الجهاز المستهدف، وإدخال رقم التعريف الشخصي الخطأ ثلاث مرات، وتوفير رقم PUK، والوصول إلى جهاز الضحية دون قيود.
وأبلغ شوتس جوجل بالثغرة في شهر حزيران/ يونيو الماضي. ولم تصدر الشركة إصلاحًا لها حتى 7 تشرين الثاني/ نوفمبر الجاري، مع أن الشركة أقرت بوجود الثغرة وخصصت لها المعرف CVE-2022-20465.
ومع أن تقرير شوتس كان مكررًا، إلا أن جوجل جعلت تقريره استثناءً، ومنحته 70 ألف دولار أمريكي مقابل اكتشاف الثغرة.
ويمكن لمستخدمي إصدارات: 10، و11، و12، و13 من نظام أندرويد تصحيح الثغرة من خلال تثبيت التحديث الأمني الذي أُطلق في 7 تشرين الثاني/ نوفمبر الجاري.
النفط يهبط بأكثر من 4% مع استمرار الخلاف بين طهران وواشنطن
أكلات عيد الأضحى .. مذاقات تحتفي بالعادات والهوية الثقافية
مسؤول أميركي: واشنطن وطهران توصلتا لاتفاق مبدئي
هزة أرضية بقوة 3.1 ريختر شرق بحيرة طبريا
من هو مدير عام مؤسسة الإذاعة والتلفزيون مهند الصفدي
الغذاء والدواء تدعو المنشآت للتحقق من بطاقات التعريف الخاصة بمفتشيها
مصر تعتزم إجراء أول مسح جوي للثروات المعدنية منذ 42 عاما
تسنيم: إيران ترفض ربط الإفراج عن أصولها المجمدة بالملف النووي
نعيم قاسم: نرفض مفاوضات إسرائيل ولترحل حكومة لبنان إن لم تؤمّن السيادة
الصين تطلق مهمة فضائية مأهولة تمهيدا لإرسال رواد فضاء إلى القمر
واشنطن: الاتفاق مع إيران قد يستغرق عدة أيام
أرتيتا يحتفل بلقب أرسنال: كانوا ينتظرون هذا منذ وقت طويل
تصريح الأميرة رحمة عن “أني أولادي من إربد” يشعل التفاعل ويحقق انتشاراً واسعاً .. شاهد الفيديو
الأردنيون العائدون من الكونغو وأوغندا يخضعون لحجر 21 يوما
بدء بيع أسطوانات الغاز البلاستيكية في عمّان وهذا سعرها
أسعار الأضاحي ترتفع والروماني يتجاوز البلدي لأول مرة
تحذير للأردنيين من صور وفيديوهات تهدف إلى ابتزازهم
مع الزيادة السنوية .. موعد صرف رواتب متقاعدي الضمان
بيان من هيئة النزاهة حول تصريحات النائب العماوي
توقعات بتحسن حركة الشراء .. أسعار الذهب محلياً اليوم
القبض على 3 متورطين بالاعتداء على أب وأبنائه في إربد والأمن يلاحق آخرين
عرض مسرحي تربوي في ماركا يدعم التعليم الدامج وتمكين الطلبة
أميركا : استنفار أمني عقب مجزرة بمركز إسلامي .. تفاصيل
ما حقيقة طلاق أصالة من فائق حسن
إعلان نتائج انتخابات اتحاد طلبة جامعة العلوم والتكنولوجيا .. أسماء