یکی از کارمندان گوگل به نام لوکاس سیویرسکی، اطلاعاتی درمورد یک آسیبپذیری بزرگ در سیستمعامل اندروید بهاشتراک گذاشته که دستگاههای سامسونگ، الجی و سایر شرکتهای سازندهی محصولات اندرویدی را تحتتأثیر قرار داده است.
هستهی اصلی مشکل امنیتی جدید اندروید منجر به فاششدن کلیدهای امضای پلتفرم محصولات چند شرکت مختلف شده است. این کلید که تولیدکنندگان محصولات اندرویدی آن را میسازند، برای اطمینان از قانونی بودن نسخهی اندرویدی که روی دستگاه کاربر درحال اجرا است مورداستفاده قرار میگیرد و مهاجمان میتوانند با سوءاستفاده از همین کلید، برنامههای دیگر را بهطور جداگانه امضا کنند تا در سیستمعامل مذکور بهعنوان اپلیکیشنهای قانونی شناخته شوند.
اندروید ازنظر طراحی به همهی برنامههایی که با کلید ایجادشده ازطرف سازندگان محصولات مجهز به این سیستمعامل امضا شدهاند، اعتماد میکند. مهاجمان میتوانند برنامههای مخرب خود را با این کلید امضا کرده و بدینترتیب مجوزهای کامل دسترسی درسطح سیستم را دراختیار خواهند داشت. درواقع میتوان گفت این آسیبپذیری به مهاجم اجازه میدهد به همهی دادههای موجود روی دستگاه هدف خود دسترسی داشته باشد.
شایانذکر است آسیبپذیری اعلامشده ازطرف سیویرسکی، فقط هنگام نصب یک برنامهی جدید یا ناشناخته مورداستفاده قرار نمیگیرد. ازآنجاکه کلیدهای مهم پلتفرم سازندگان محصولات اندرویدی فاششده است، این باگ در برخی موارد برای امضای برنامههای رایج ازجمله بیکسبی (Bixby) که روی برخی گوشیهای غول فناوری کرهی جنوبی وجود دارد نیز استفاده میشود و مهاجم میتواند با این اقدام، بدافزار موردنظر خود را بهعنوان برنامهی قابلاعتماد به دستگاه کاربر اضافه کند و درنتیجه بدافزار مذکور با همان کلید امضا خواهد شد و اندروید به آن اعتماد خواهد کرد. این روش بدون درنظر گرفتن اینکه یک برنامه ابتدا از گوگلپلی یا گلکسیاستور روی گوشی کاربر نصب شده باشد یا با دانلود مستقیم از منابع دیگر، کار میکند.
البته گوگل مشخص نکرده است که کدام دستگاهها یا شرکتهای سازندهی محصولات اندرویدی تحتتأثیر مشکل امنیتی اخیر سیستمعامل این شرکت قرار گرفتهاند؛ اما هش (Hash) فایلهای بدافزار نمونه را بهما نشان میدهد. بهطور خلاصه، فایلهای آلوده که در پلتفرم VirusTotla آپلود شد، اغلب نام شرکت آسیبپذیر را نیز نشان میدهد و این یعنی کلیدهای امضای آن برند فاش شده است. البته باید اشاره کنیم این مشکل همچنان روی محصولات اندرویدی برخی شرکتها شناسایی نشده است. درحالحاضر دستگاههای سامسونگ، الجی، مدیاتک، szroco (سازندهی تبلتهای والمارت Onn) و Revoview تحتتأثیر این آسیبپذیری قرار گرفتهاند.
با توجه به توضیح مختصر گوگل درمورد آسیبپذیری مرتبط با فاششدن کلید امضای پلتفرم شرکتهای سازندهی دستگاههای اندرویدی، اولین گام این است که هریک از این برندها کلیدهای مذکور را تغییر دهند تا مهاجمان دیگر نتوانند از آنها سوءاستفاده کنند. بههرحال انجام منظم این اقدام برای بهحداقل رساندن اثرات این مشکل امنیتی، مفید خواهد بود.
گوگل از همهی سازندگان محصولات اندرویدی درخواست کرده است تعداد دفعات استفاده از کلید پلتفرمهای خود را برای امضای برنامههای دیگر، بهمیزان درخورتوجهی کاهش دهند. فقط برنامهای که به بالاترین سطح مجوز نیاز دارد باید با کلید مذکور امضا شود تا بدینترتیب از بروز مشکلات امنیتی احتمالی جلوگیری شود.
گوگل میگوید از زمانیکه مشکل فاششدن کلیدهای امضای پلتفرم سازندگان دستگاههای اندرویدی در ماه می ۲۰۲۲ گزارش شد، سامسونگ و سایر شرکتهای آسیبدیده، اقدامات اصلاحی را برای بهحداقل رساندن تأثیر آن روی کاربران خود انجام دادهاند. به گفتهی APK Mirror هدف از این اقدام غول فناوری کرهای دقیقاً مشخص نیست زیرا برخی کلیدهای آسیبپذیر طی چندروز گذشته در برنامههای اندرویدی این شرکت مورد استفاده قرار گرفتهاند.
درحالیکه اطلاعیهی گوگل نشان میدهد آسیبپذیری فوق در می ۲۰۲۲ گزارش شده است، برخی از نمونههای بدافزار برای اولینبار در اوایل سال ۲۰۱۶ در پلتفرم VirusTotal بررسی شدند. هنوز نمیدانیم چنین مشکلی در آن زمان باعث سوءاستفادههای مرتبط و فعال روی برخی دستگاهها شده است یا خیر.
گوگل در بیانیهی خود تصریح کرد که دستگاههای افراد دربرابر آسیبپذیری مذکور بهروشهای انگشتشماری قابل محافظت هستند که ازجمله میتوان به سیستم امنیتی Play Protect گوگلپلی اشاره کرد.
۵۸۵۸