باحث بالأمن السيرياني يكتشف ثغرة في أندرويد بالصدفة
16-11-2022 02:32 PM
السوسنة - تمكن باحث في مجال الأمن السيبراني من الوصول لثغرة عن طريق الصدفة تؤثر في معظم الأجهزة العاملة بنظام التشغيل أندرويد التابع لشركة جوجل.
وأوضح الباحث، ديفيد شوتس: إنه وجد طريقة لتجاوز شاشة القفل في هاتفيه الذكيين، بكسل 6 وبكسل 5 من جوجل. وأضاف أن هذه الثغرة تتيح لأي شخص لديه وصول مادي إلى الجهاز أن يفتحه.
ووفق ما عرض شوتس في مقطع فيديو، فإن استغلال الثغرة الأمنية لتجاوز شاشة القفل في هواتف أندرويد عملية سهلة من خمس خطوات لن تستغرق أكثر من بضع دقائق.
وأصلحت جوجل المشكلة الأمنية في تحديث أندرويد الذي أُطلق الأسبوع الماضي، ولكن الثغرة ظلت متاحة للاستغلال لما لا يقل عن ستة أشهر.
ويقول شوتس: إنه اكتشف الثغرة بالصدفة بعد نفاد بطارية هاتفه بكسل 6. وبعد أن أدخل رقم التعريف الشخصي الخاص به ثلاث مرات خطأً، فقد تمكن من فتح قفل بطاقة SIM باستخدام رمز مفتاح فتح القفل الشخصي PUK. وبعد فتح بطاقة SIM واختيار رقم تعريف شخصي جديد، لم يطلب الجهاز كلمة مرور شاشة القفل، ولكنه طلب فقط مسح بصمة الإصبع.
وتطلب أجهزة أندرويد دائمًا كلمة مرور أو نمطًا لقفل الشاشة عند إعادة التشغيل لأسباب أمنية، لذلك لم يكن الانتقال مباشرة إلى إلغاء القفل ببصمة الإصبع أمرًا طبيعيًا.
وواصل الباحث إجراء التجارب، ولما عاود المحاولة دون إعادة تشغيل الجهاز، اكتشف أنه من الممكن الانتقال مباشرة إلى الشاشة الرئيسية، أي أنه تمكن من تجاوز بصمة الإصبع أيضًا، شريطة أن يكون مالك الجهاز قد ألغى قفله ما لا يقل عن مرة واحدة منذ إعادة تشغيله.
يُشار إلى أن تأثير هذه الثغرة الأمنية واسع جدًا، فهي تؤثر في جميع الأجهزة التي تعمل بإصدارات: 10، و11، و12، و13 من نظام التشغيل أندرويد، والتي لم تحصل على التحديث الأمني لشهر تشرين الثاني/ نوفمبر 2022.
ومع أن الوصول المادي إلى الجهاز يعد شرطًا أساسيًا لاستغلال الثغرة، إلا أنها لا تزال تحمل تداعيات خطرة، خاصةً على أصحاب الأجهزة المسروقة، أو الذين يُتاح للمهاجم الوصول إلى أجهزتهم. ويمكن للمهاجم استخدام بطاقة SIM الخاصة به على الجهاز المستهدف، وإدخال رقم التعريف الشخصي الخطأ ثلاث مرات، وتوفير رقم PUK، والوصول إلى جهاز الضحية دون قيود.
وأبلغ شوتس جوجل بالثغرة في شهر حزيران/ يونيو الماضي. ولم تصدر الشركة إصلاحًا لها حتى 7 تشرين الثاني/ نوفمبر الجاري، مع أن الشركة أقرت بوجود الثغرة وخصصت لها المعرف CVE-2022-20465.
ومع أن تقرير شوتس كان مكررًا، إلا أن جوجل جعلت تقريره استثناءً، ومنحته 70 ألف دولار أمريكي مقابل اكتشاف الثغرة.
ويمكن لمستخدمي إصدارات: 10، و11، و12، و13 من نظام أندرويد تصحيح الثغرة من خلال تثبيت التحديث الأمني الذي أُطلق في 7 تشرين الثاني/ نوفمبر الجاري.
التجارة العالمية: فرص كبرى للشرق الأوسط مع الذكاء الاصطناعي
الضمان الاجتماعي: 497 دينارا متوسط الرواتب التقاعدية
الجزيرة يبتعد في صدارة دوري الرديف لكرة القدم
بريطانيا ستعترف بالدولة الفلسطينية بعد انتهاء زيارة ترمب الرسمية لها
طقس معتدل في اغلب المناطق اليوم وغدًا
قصف مدفعي بمحيط منطقة الأمن العام في مدينة غزة .. فيديو
حريق بسيط في أحد المطاعم دون إصابات
جمعية البنوك تتوقع خفض معدلات الفائدة في الأردن 25 نقطة أساس
مقالات الذكاء الاصطناعي … ومسدس صموئيل كولت
اختتام فعاليات مؤتمر مكافحة الطائرات المسيّرة
ولي العهد يحذر من خطورة الإجراءات الإسرائيلية الأحادية في تقويض السلام
فريق الوحدات يخسر أمام المحرق البحريني بدوري أبطال آسيا2
الرئيس السوري: اتفاق أمني مع إسرائيل ضرورة
مطلع الأسبوع المقبل .. بريطانيا تستعد للاعتراف الرسمي بدولة فلسطين
تعديل ساعات عمل جسر الملك حسين الشهر الحالي والقادم
نصائح لقبول تأشيرة شنغن بدون عقبات
مرحلة جديدة تدشّنها إسرائيل… عنوانها العربدة
صورة من مدرسة حكومية تكشف واقعاً مؤلماً .. شاهد
العياصرة: التوسع الاستيطاني يعبر عن حالة التوحش في إسرائيل
مشتركة في الأعيان تبحث تعزيز التنمية الثقافية
اختتام جلسة حوارية بشأن قانون حقوق الأشخاص ذوي الإعاقة
اليرموك تعلن الدفعة الأولى لطلبة الدراسات العليا .. رابط
رئاسة الاتحاد الرياضي الجامعي تنتقل للشرق الأوسط
الحكومة تعلن شاغر أمين عام الأشغال العامة
اختفاء مخالفات السير .. خلل تقني مؤقت يثير فرحة المواطنين
تعزيز التعاون بين هيئة الإعلام ونقابة الصحفيين
استحداث تخصص التكنولوجيا المالية بالجامعة الهاشمية