هفوة برمجية وصفت بالـ “خطيرة جدا” تهدد 95% من الهواتف الذكية التي تعمل بنظام التشغيل “أندرويد” ، تمكن القراصنة من السيطرة الكاملة على الأجهزة من خلال رسائل الوسائط المتعددة MMS.
التفاصيل مع نايلة الصليبي
هفوة برمجية وصفتها شركة
Zimperium، المتخصصة بأمن الشبكة والمعلومات، بالـ “
خطيرة جدا” والتي كشفتها في أداة تشغيل الوسائط المتعددة
Stagefright المدمجة في مختلف إصدارات نظام التشغيل أندرويد ، ويمكن للقراصنة إستغلال هذه الهفوة البرمجية عن طريق إرسال رسائل الوسائط المتعددة
MMS بسيطة ، كفيديو قصير مفخخ ببرنامج خبيث؛ ويكفي تلقي تلك الرسائل دون أن يفتحها أو يتفاعل معها المستخدم ، حتى يلوث الجهاز ؛ فميزة
Stagefright أنه يسرع عملية تحضير ملف الفيديو لقراءته بسهولة دون تأخير فهذه الميزة كافية لكي تتيح للقراصنة زرع برمجية خبيثة و السيطرة الكاملة على الهاتف والسماح لهم بسرقة كل البيانات و المعطيات المحفوظة في الهاتف الذكي ، كأرقام بطاقات الائتمان أو المعلومات الشخصية.
كما وصف Joshua Drake، نائب رئيس قسم الأبحاث في شركة Zimperium ، هفوة Stagefright بأنها “أم كل هفوات نظام اندرويد” “mother of all Android vulnerabilities.” ويضيف “إن سمعتم عن هفوة “هارت بليد”، فهذه الثغرة هي أسوأ من ذلك بكثير”. وذلك في إشارة إلى أن 95% من الهواتف الذكية التي تعمل بنظام التشغيل “أندرويد” هي عرضة لخطر الإختراق .وعندما نعلم أن عام 2014 كان عدد الهواتف الذكية التي تعمل بأندرويد تتجاوز المليار جهاز وأن عام 2015 سيتخطى هذا الرقم، ندرك عندها مغزى تعبير جوشوا دريك..
يعود كشف هذه الثغرة حسب Joshua Drake لشهر إبريل الماضي، وقد أُعلمت شركة غوغل بخطورتها وقامت غوغل بإعلام شركاتالمزودة لخدمة الإتصال الخلوي بوجود هذه الثغرة، ونشرت التحديثات لأجهزة HTC – Motorola بإنتظار البقية.
علما أن شركة “سايلنت سيركل” Silent Circle التي تطور جهاز الهاتف الذكي الآمن “بلاكفون” ،Blackphone قامت بتصحيح هذه الثغرة كذلك الأمر بالنسبة لمتصفح الإنترنت “فايرفوكس” المخصص للأجهزة الذكية المحمولة والذي يستخدم بدوره أداة Stagefright، قامت شركة موزيلا بتصحيح الهفوة البرمجية في متصفحها المحمول .
قوة نظام “أندرويد” كانت تكمن بكونه نظاما مفتوحا، تسهل ملاءمته وتعديله ليتناسب مع مختلف الأجهزة المحمولة الذكية، مما جعله نظام التشغيل الأكثر إنتشارا في العالم و يُشغل 4 هواتف ذكية من اصل 5. اصبحت هذه الميزة، مع الوقت، نقطة ضعف قاتلة، وعندما تُكتشف الهفوات البرمجية ، فإن تعدد النسْخات تجعل نشر تصحيح الهفوة عملية صعبة و معقدة، لكي تتمكن “غوغل”، مطورة “اندرويد” من نشر تحديثات كل إصدارات اندرويد،التي تخضع لإرادة مصنع الهاتف الذكي و مزود خدمة الإتصال الخلوي لتحديث الأجهزة.
معظم شركات أمن المعلومات ومكافحة الفيروسات ، و خاصة F-Secure حددت في تقاريرها أن 99% من الأجهزة المستهدفة بهجمات الإختراق و البرمجيات الخبيثة للمحمول في الربع الأول من هذا العام هي أجهزة تعمل بنظام التشغيل اندرويد.
وحتى الأن لم يعلن بعد عن إستغلال هذه الهفوة البرمجية من قبل القراصنة حسب Zimperium. التي ستقدم دراسة حول هذه الثغرة خلال أعمال مؤتمر Black Hat Security conference بداية شهر آغسطس المقبل في مدينة لاس فيغاس .وهو مؤتمر يجمع خبراء أمن المعلوماتية والمخصص للأبحاث حول تقنيات القرصنة ومخاطر الهفوات البرمجية.
و قد ردت “غوغل” ببيان صحفي ،مساء الإثنين، بأن الشركة ستقوم من خلال تحديثاتها الدورية بدفع تصحيح لجهازNexus بداية الأسبوع المقبل ، و انها ستنشر الشيفرة المصدرية المفتوحة المصدر للجميع ما أن يتم الإعلان عن هذه الهفوة البرمجية في مؤتمر Blackhat.
غير أن خبراء الأمن لا يجمعون على إعتبار كل الهفوات البرمجية كهفوات أمنية يمكن إستغلالها من قبل القراصنة ،إذ يجب أن يكون القرصان قادر على تطوير برنامج يتجاوز كل طبقات الحماية في نظام التشغيل حول الهفوة البرمجية هذا رأي الخبير أدريان لودفيك ، رئيس قسم أمن اندرويد” في شركة “غوغل” ، الذي إنتقد على صفحته على موقع غوغل + الضجة و الرغبة بنشر الذعر حول الهفوات البرمجية و ذلك دون ذكر هفوة Stagefright
المصدر: مونتي كارلو الدولية
الجزائر Algerie 48 أول شبكة مراسلين جزائرية مستقلة
