گوگل بعد از گذشت سه سال برای نقص امنیتی کروم، پچ ارائه می‌دهد

16 دی 1397 گوگل بعد از گذشت سه سال برای نقص امنیتی کروم، پچ ارائه می‌دهد

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مرورگر کرومِ  اندرویدی  حدود سه سال (2015) پیش دچار نقص امنیتی شده بود و از پی این نقص، اطلاعات مدل سخت‌افزار و سفت‌افزار اسمارت‌فون‌ها افشا شد (همچنین قابلیت وصله‌پذیریِ امنیتی دستگاه را نیز به طور غیرمستقیم نشان می‌داد).  آنچه این پچ (وصله) را از دیگر پچ‌ها متمایز می‌سازد این است که محققین امنیتی ابتدا در ماه می 2015 در مورد این باگ به مهندسین گوگل خبر دادند اما آن‌ها این مشکل را پشت گوش انداختند تا وقتی پرسنل کروم خودشان متوجه شدند اطلاعاتی که کرومِ اندرویدی در اختیار می‌گذارد بسیار خطرناک است و می‌تواند به صورت هدف‌دار از آن‌ها بهره‌برداری شود.

گزارش باگ در سال 2015

این باگ برای اولین بار توسط محققین امنیتی مرکز پژوهشی Nightwatch Cybersecurity در قالب یک بلاگ‌پست پرونده‌سازی شد. پژوهشگران، آن زمان پی بردند که رشته‌های عامل کاربری (User-Agent strings) کرومِ اندرویدی در مقایسه با رشته‌های عامل کاربری ورژن‌های دسکتاپی، حاوی اطلاعات بیشتری‌اند. جدا از اطلاعات مرورگر کروم و اطلاعات مربوط به شماره نسخه‌ی سیستم‌عامل، رشته‌های عامل کاربری کرومِ اندرویدی همچنین حاوی اطلاعات مربوط به نام دستگاه و شماره‌ی ساخت سفت‌افزاری آن نیز بودند.

برای نمونه: ST26i Build/LYZ28K

در معرض قرار دادن نام‌های دستگاه مانند ST26i خطرناک است؛ زیرا اینها صرفاً یک سری لغات و اصطلاحات عمومی نیستند. از نام‌‌ دستگاه‌ها خیلی راحت می‌توان به مدل‌های اسمارت‌فون پی برد (بر اساس فهرست‌های عمومی از قبل‌شناخته‌شده همچون نمونه‌ای که ارائه شد).

اما بزرگ‌ترین مشکل، در معرض قرار دادن شماره‌ی ساخت سفت‌افزاری بود.

محققین Nightwatch در بلاگ‌پستی که در طول تعطیلات کریسمس آپدیت شد اینطور نوشتند: «برای بسیاری از دستگاه‌ها، در معرض قرار دادن شماره‌ی ساخت سفت‌افزاری نه تنها می‌تواند دستگاه را شناسایی کند بلکه همچنین اپراتوری که آن را راه‌اندازی نموده (و کشور را) نیز تشخیص دهد. شماره‌‌های ساخت را می‌توان خیلی راحت از شرکت‌های تولیدکننده و یا وبسایت‌های اپراتور تلفن بدست آورد. از نمونه‌ی بالا خیلی راحت می‌توان تشخیص داد که سازه‌ی  LYZ28K در حقیقت نکسوس 6 از اپراتور تی‌موبایل (واقع در آمریکا) است».

اکسپلویت هدف‌دار

علاوه بر این، دانستن شماره‌ی ساخت بدین معناست که مهاجمین همچنین می‌توانند شماره‌ی دقیق سفت‌افزار را شناسایی نموده و به طور غیرمستقیم سطح پچ امنیتی آن دستگاه را تشخیص دهند (همچنین می‌توانند بفهمند این دستگاه نسبت به کدام موارد از خود آسیب‌پذیری نشان می‌دهد). چنین اطلاعاتی برای آن دسته از مجرمان سایبری که کیت‌های اکسپلویت مبتنی بر وب اجرا می‌کنند (EKs) و همچنین برای هکرهای دولتی که با اهدافی بزرگ‌تر سعی دارند وبسایت‌های تسلیحاتی را به دام اندازند از اهمیت بسیار بالایی برخوردار است.

این نوع اطلاعاتِ حساس از همان ابتدا برای برطرف‌ کردن باگ‌ها و مقاصد تحلیلی هرگز نباید از طریق رشته‌های عامل کاربری در دسترس قرار می‌گرفت.

تغییر رویه

گرچه گوگل از همان ابتدا به محققین Nightwatch گفته بود که کرومِ اندرویدی درست طبق برنامه پیش می‌رود اما تابستان جاری این شرکت نظر خود را عوض کرد: مهندسین گوگل (خودشان به تنهایی) پروسه‌ای را پیش بردند که در آن، دست کم شماره‌ی ساخت از روی رشته‌ی عامل کاربری کرومِ اندرویدی برداشته می‌شد. این اصلاحیه بدون بی‌هیچ سر و صدایی اواسط اکتبر 2018 برای کاربران اندرویدی ارسال شد. با این حال، این پچ هنوز کامل نیست. رشته‌های نام دستگاه همچنان فهرست می‌شوند. علاوه بر اینها، هم نام دستگاه و هم شماره‌ی ساخت همچنان در WebView و Custom Tabs (دو اجزای اندرویدی کهدر واقع نسخه‌های جمع و جور‌شده‌ی موتور کروم هستند) وجود دارند. سایر اپ‌ها می‌توانند کد خود را داخل این دو بخش جاگذاری کنند تا کاربران بتوانند با استفاده از مرورگر درون‌سازه‌ای کروم‌مانند، محتوای وب را ببینند.

درست است که Custom Tabs این روزها به ندرت مورد استفاده قرار می‌گیرد اما WebView به شدت طرفدار دارد و تا به حال مرورگر درون‌سازه‌ایِ اپ‌های محبوبی چون فیسبوک، توییتر، فلیپ‌بورد و غیره بوده است.

گرچه این نقص امنیتی مستقیماً متوجه کاربران نمی‌شود اما آن دسته از کاربرانی که برای حریم خصوصی‌‌شان ارزش زیادی قائل‌اند می‌بایست نسبت به این نقص اطلاعاتی آگاه باشند و به جای کروم یا WebView از مرورگر دیگری استفاده کنند.

یک پچ موقتی می‌تواند گوگل کرومِ اندرویدی را طوری تنظیم کند که -زمانیکه کاربران از طریق گوشی به وبسایت‌ها سر می‌زنند- از گزینه‌ی Request Desktop Site استفاده نماید. این بدین دلیل است که وقتی کرومِ اندرویدی طوری تنظیم می‌شود تا از Request Desktop Site استفاده کند، از خود رشته‌ی عامل کاربری لینوکس‌مانندی را پخش می‌کند که دیگر نه حاوی نام دستگاه است و نه شماره‌ی ساخت سفت‌افزار.

علاوه بر این، Nightwatch همچنین توصیه می‌کند توسعه دهندگان اپ، رشته‌های عامل کاربری خود را بازنویسی کنند تا یا از رشته‌ای  سفارشی استفاده کنند و یا نام دستگاه و شماره‌ی ساخت را بردارند. با این حال، بیشتر توسعه‌دهندگان اپ، باگ‌های مخصوص به خودشان را دارند و دائم نیز در حال دست و پنجه نرم کردن با آن‌ها هستند. البته خیلی از توسعه‌دهندگان اپ نیز چنین باگ‌هایی اساساً آزارشان نمی‌دهد.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    3,962,250 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,410,750 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    3,964,275 ریال5,663,250 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    2,124,900 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    2,124,900 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    2,828,250 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد