باحث بالأمن السيرياني يكتشف ثغرة في أندرويد بالصدفة
السوسنة - تمكن باحث في مجال الأمن السيبراني من الوصول لثغرة عن طريق الصدفة تؤثر في معظم الأجهزة العاملة بنظام التشغيل أندرويد التابع لشركة جوجل.
وأوضح الباحث، ديفيد شوتس: إنه وجد طريقة لتجاوز شاشة القفل في هاتفيه الذكيين، بكسل 6 وبكسل 5 من جوجل. وأضاف أن هذه الثغرة تتيح لأي شخص لديه وصول مادي إلى الجهاز أن يفتحه.
ووفق ما عرض شوتس في مقطع فيديو، فإن استغلال الثغرة الأمنية لتجاوز شاشة القفل في هواتف أندرويد عملية سهلة من خمس خطوات لن تستغرق أكثر من بضع دقائق.
وأصلحت جوجل المشكلة الأمنية في تحديث أندرويد الذي أُطلق الأسبوع الماضي، ولكن الثغرة ظلت متاحة للاستغلال لما لا يقل عن ستة أشهر.
ويقول شوتس: إنه اكتشف الثغرة بالصدفة بعد نفاد بطارية هاتفه بكسل 6. وبعد أن أدخل رقم التعريف الشخصي الخاص به ثلاث مرات خطأً، فقد تمكن من فتح قفل بطاقة SIM باستخدام رمز مفتاح فتح القفل الشخصي PUK. وبعد فتح بطاقة SIM واختيار رقم تعريف شخصي جديد، لم يطلب الجهاز كلمة مرور شاشة القفل، ولكنه طلب فقط مسح بصمة الإصبع.
وتطلب أجهزة أندرويد دائمًا كلمة مرور أو نمطًا لقفل الشاشة عند إعادة التشغيل لأسباب أمنية، لذلك لم يكن الانتقال مباشرة إلى إلغاء القفل ببصمة الإصبع أمرًا طبيعيًا.
وواصل الباحث إجراء التجارب، ولما عاود المحاولة دون إعادة تشغيل الجهاز، اكتشف أنه من الممكن الانتقال مباشرة إلى الشاشة الرئيسية، أي أنه تمكن من تجاوز بصمة الإصبع أيضًا، شريطة أن يكون مالك الجهاز قد ألغى قفله ما لا يقل عن مرة واحدة منذ إعادة تشغيله.
يُشار إلى أن تأثير هذه الثغرة الأمنية واسع جدًا، فهي تؤثر في جميع الأجهزة التي تعمل بإصدارات: 10، و11، و12، و13 من نظام التشغيل أندرويد، والتي لم تحصل على التحديث الأمني لشهر تشرين الثاني/ نوفمبر 2022.
ومع أن الوصول المادي إلى الجهاز يعد شرطًا أساسيًا لاستغلال الثغرة، إلا أنها لا تزال تحمل تداعيات خطرة، خاصةً على أصحاب الأجهزة المسروقة، أو الذين يُتاح للمهاجم الوصول إلى أجهزتهم. ويمكن للمهاجم استخدام بطاقة SIM الخاصة به على الجهاز المستهدف، وإدخال رقم التعريف الشخصي الخطأ ثلاث مرات، وتوفير رقم PUK، والوصول إلى جهاز الضحية دون قيود.
وأبلغ شوتس جوجل بالثغرة في شهر حزيران/ يونيو الماضي. ولم تصدر الشركة إصلاحًا لها حتى 7 تشرين الثاني/ نوفمبر الجاري، مع أن الشركة أقرت بوجود الثغرة وخصصت لها المعرف CVE-2022-20465.
ومع أن تقرير شوتس كان مكررًا، إلا أن جوجل جعلت تقريره استثناءً، ومنحته 70 ألف دولار أمريكي مقابل اكتشاف الثغرة.
ويمكن لمستخدمي إصدارات: 10، و11، و12، و13 من نظام أندرويد تصحيح الثغرة من خلال تثبيت التحديث الأمني الذي أُطلق في 7 تشرين الثاني/ نوفمبر الجاري.
10 إصابات أغلبهم أطفال بحادث تصادم مركبتين بجرش
وزيرة الثقافة تفتتح حفل مؤتمر تيدكس الشميساني
استشهاد منفذ عملية الطعن بالرملة
موعد بطولة المملكة للرياضات الإلكترونية
أسواق الأسهم الأوروبية تغلق على ارتفاع
الاحتلال يعلن اغتيال قيادي في لبنان
وفاة خمسيني بعيار ناري أصابه بالخطأ في الكرك
قبل اجتياح رفح .. هذا ما أبلغته إسرائيل لمصر
فيديو .. لحظة انقلاب سيارة بن غفير
الفايز من أسطنبول: الدم الفلسطيني ليس رخيصاً
مؤتمرون يؤكدون أهمية تحديث السياسات والنظم التربوية العربية
قلق أممي حيال تصاعد التوتر بين المسلحين بفاشر السودانية
بشرى سارة من الحكومة لمستخدمي المركبات الكهربائية
الجنايات تسند تهمة هتك عرض لممرض .. تفاصيل
احتجاجات أمام شركة أوبر الأردن .. تفاصيل
الحكومة تعلن عن بيع أراضٍ سكنية بالأقساط .. تفاصيل وفيديو
الحكومة تبدأ بصرف رواتب موظفي القطاع العام
وزارة الزراعة تعلن عن نحو 50 وظيفة .. تفاصيل
فقدان الطفل عزالدين سريه في الزرقاء الجديدة
أردني يسمي مولوده السنوار وبلبلة على مواقع التواصل
البلقاء التطبيقية تعلن عن وظائف شاغرة .. تفاصيل
احتراق سيارة كهربائية ID3 على طريق المطار .. فيديو
4 جامعات حكومية معتمدة لدى الكويت .. أسماء
الأردنيون يترقبون نزول أسعار السيارات الكهربائية 50%! .. ماذا هناك؟
شركة حكومية تطلب وظائف .. تفاصيل
#امنعوه_لا_ترخصوه عاصفة إلكترونية تجتاح مواقع التواصل بالأردن