دستگاه های اندرویدی استفاده کننده از پردازنده های Qualcomm با ۴ خطر بزرگ مواجه اند - تکفارس 
دستگاه های اندرویدی استفاده کننده از پردازنده های Qualcomm با ۴ خطر بزرگ مواجه اند - تکفارس 

دستگاه های اندرویدی استفاده کننده از پردازنده های Qualcomm با ۴ خطر بزرگ مواجه اند

امید بصیری
۲۱ مرداد ۱۳۹۵ - 15:56
دستگاه های اندرویدی استفاده کننده از پردازنده های Qualcomm با ۴ خطر بزرگ مواجه اند - تکفارس 

کوالکام Patch های مختلفی را برای این مشکلات ارائه کرده اما Google فقط ۳ مورد از آن ها را در لیست به روز رسانی های خود تا بدین جا قرار داده است. در ادامه ی خبر با تکفارس همراه باشید.

صد ها میلیون گوشی هوشمند اندرویدی بر مبنای پردازنده های کوالکام برنامه ریزی شده اند که تمام آن ها حداقل از یکی از ۴ نقطه ضعف اصلی این پردازنده رنج می برند. این نقاط ضعف به برنامه های مخرب اجازه خرابکاری و دستکاری در سیستم از طریق دانلود اجباری و ناخواسته آن ها را می دهد.

۴ نقطه ضعف اصلی این پردازنده ها توسط محققی به نام “آدام داننفلد/Adam Donenfeld” از شرکت Check Point Software Technologies روز یک شنبه در کنفرانس امنیتی لاس وگاس مطرح شد. این موارد بین ماه های فوریه و آپریل به کوالکام اطلاع داده شه بودند و کوالکام به محض اطلاع یافتن از این موضوع و طبقه بندی آن به عنوان “بسیار مهم” به روز رسانی هایی برای رفع آن ارائه کرده است.

متاسفانه ارائه این به روز رسانی ها به معنی مصون ماندن گوشی های هوشمند از خطر های احتمالی نیست. با توجه به این دستگاه های اندرویدی در مقیاس بسیار وسیعی از مدل های مختلف با نسخه های متفاوت سیستم عامل عرضه می شوند بسیاری از نسخه های قدیمی ترِ سیستم عامل اندروید دیگر به روزرسانی امنیتی دریافت نمی کنند حتی اگر هم این اتفاق بیافتد با ماه ها تاخیر رو به رو است.حتی کمپانی ای مثل گوگل که هر ماه برای گوشی ها و تبلت های نکسوسی خود به روز رسانی منتشر می کند نیز نتوانسته این مشکل را کامل بر طرف کند.

این نقاط ضعف عمدتاً با نام “چهار شاخه” شناخته می شوند چرا که در صورت بروز مشکل به مهاجمین امکان دسترسی های بی شمار و بسیار خطرناکی می دهند که برای سیستم عاملی مثل اندروید که بر پایه لینوکس است همچون سمی مهلک است. نام دقیق تر آن ها CVE-2016-2059, CVE-2016-2503 ,CVE-2016-2504 ,CVE-2016-5340 است و در قسمت های مختلفی از سیستمی که کوالکام برای شرکت های تولید کننده طراحی کرده وجود دارند.

به تازگی “الکس گتمن/Alex Gantman” یکی از مهندسان ارشد شرکت کوالکام اعلام کرده که این شرکت بین ماه های اپریل تا جولای Patch هایی را برای رفع این مشکل به مشتریان و شرکای تجاری خود ارائه کرده است.

در همین حین اما گوگل تنها سه مورد از این پچ ها در میان به روز رسانی های ماهانه خود برای دستگاه های نکسوسی قرار داده است. به روز رسانی های ارائه شده از سوی کوالکام با شرکت های تولیدکننده تلفن همراه و همچنین پروژه ی متن باز اندروید به اشتراک گذاشته شده اند.

تلفن هایی اندرویدی که از اندروید ۶.۰ Marshmallow با Patch پنجم آگوست بهره می برند در برابر مشکلات CVE-2016-2059, CVE-2016-2503, CVE-2016-2504 در امان هستند. گوشی های اندرویدی که  از سیستم عامل ۴.۴.۴ کیت کت ۵.۰.۲ و ۵.۱.۱ Lollipop با  Patch پنجم آگوست استفاده میکنند نیز باید در برابر CVE-2016-2503 و CVE-2016-2504 در امان باشند اما در برابر CVE-2016-2059 که گوگل آن را کم اهمیت تر از بقیه می داند همچنان آسیب پذیرند. نقطه ضعف CVE-2016-2059 همچنان بدون راه حل از سوی گوگل باقی مانده است اما شرکت های تولید کننده گوشی می توانند مستقیماً از کوالکام راه حل دریافت کنند.

یکی از مدیران گوگل در ایمیلی به کاربران گفته:

نقطه ضعف CVE-2016-2059 که هنوز توسط گوگل رفع نشده در به روز رسانی بعدی رفع خواهد شد اما تا آن زمان کاربران می توانند از به روز رسانی عمومی که کوالکام ارائه کرده استفاده کنند. اجرا شدن هر کدام از این چهار نقطه ضعف دستگاه کاربر را مجبور به دانلود نرم افزار های مخرب خواهد کرد. برنامه های شناسایی و امنیتی ما می تواند به کاربران کمک کند که نرم افزار هایی را که این نقاط ضعف را فعال میکنند شناسایی کنند.

درست است که این نقاط ضعف صرفاً توسط نرم افزار های اصطلاحاً سرکش فعال می شوند و چک کردن ایمیل ها,گشت و گذار در نت و فرستادن SMS فعالشان نمی کند اما نرم افزار های مخرب اینگونه نیستند.

مهندسان گوگل و کوالکام بر سر درجه اهمیت CVE-2016-2059 اختلاف نظر دارند. درحالی که کوالکام آن را در درجه ی با اهمیت قرار میدهد اما گوگل معتقد است که این نقطه ضعف آن چنان هم جدی نیست.

سخت است که مشخص کنیم کدام یک از تلفن های هوشمند در برابر این نقاط ضعف آسیب پذیر هستند چرا که ممکن است برخی از شرکت ها تا به روز رسانی بعدی گوگل منتظر بمانند و سپس اقدام به انتشار به روز رسانی خود کنند در حالی که ممکن است برخی نیز مستقیماً از کوالکام این به روز رسانی ها را دریافت کنند. Check Point Software Technologies نرم افزار رایگانی با نام QuadRooter Scanner منتشر کرده است که به کاربران امکان می دهد که بفهمند آیا گوشی آنها از این نقاط ضعف رنج میبرد یا خیر.

منبع:itworld.com

 

مطالب مرتبط سایت

نظرات

دیدگاهتان را بنویسید