روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ تابستان 2022، دیوید شوتز –متخصص امنیت سایبری- بعد از کل رانندگی در جاده به خانه برمیگشت. باتری اسمارتفون Google Pixel 6 او تمام شده بود: وقتی در نهایت به خانه رسید فقط یک درصد شارژ داشت و درست وسط پیام دادن همان یک درصد هم تمام و گوشی خاموش شد. شوتز شارژرش را پیدا کرد و توانست گوشی را دوباره روشن کند اما نتوانست ادامه پیام را بدهد- باید کد SIM PIN وارد میکرد. دیوید بعد از صفری طولانی سه بار پین را اشتباه وارد کرد. این یعنی وارد کردن کد مخفی دیگر به نام PUK. دیوید با انجام این کار دعوت شد به آنلاک کردن گوشی با اثر انگشت اما بعد از شناخته شدن اثر انگشت، گوشی هنگ کرد.
هر کس دیگری شاید این مشکلات را ناشی از گیرهای نرمافزاری بداند، گوشی را ریستارت کند و به زندگی خود ادامه دهد. اما دیوید که محققی با شامه قوی است و خوب میداند دلیل رفتارهای عجیب دستگاهها و نرمافزارها چیست تصمیم گرفت سر در بیاورد چرا گوشیاش بعد از ریستارت دیگر آنلاک شدن کد را نمیخواهد. بعد از چندین بار تلاش ناموفق او متوجه شد در این مورد ریستارت غیرضروری است. برداشتن اسمارتفون قفلشده، برداشتن سیم کارت، از نو گذاشتن سیم، وارد کرد پین کد اشتباهی آن هم سه بار، وارد کردن کد PUK. بعد همه اینها چه اتفاقی میافتد؟ به نظر میرسد میتوانید تماماً از لاک اسکرین گوشی عبور کنید! شوتز جزئیات کشف خود را در بلاگ خود گذشاته اما اگر فکر میکنید گوگل سریعاً را رفع کرده در اشتباهید! این حفره امنیتی تقریباً شش ماه است بسیاری از اسمارتفونهایی که اندروید (نسخههای 11 تا 13) را اجرا میکنند تهدید میکند (از ماه ژوئن تا نوامبر!).
چه شده؟!
در اصل، این آسیبپذیری به فرد اجازه میدهد تا لاک اسکرین را رد کرده به همه دادههای گوشی بدون اینکه کد مخفی را بداند دسترسی پیدا کند. هیچ مکانیزم پیچیده حملهای نیاز نیست. و نیازی هم ندارد مهاجم به دستگاه خارجی به اسمارتفون کانکت شود یا در نرمافزار دنبال آسیبپذیریها بگردد. فقط سیم کارت را در میآورید دوباره میگذارید (مهاجم میتواند سیم خود را وارد کند)، پین را سه بار اشتباه وارد میکنید، کد PUK را زده، پین را تغییر داده و حالا به گوشی دسترسی دارید. اما این باید یادتان باشد که گوشی بایست روشن باشد و از قبل توسط صاحب خود دست کم یک بار آنلاک شده باشد. نرمافزار آسیبپذیر در آن بخش اندروید قرار دارد که آزادانه توزیع شده است- جایی که هر کس میتواند کد منبع را ببیند. این به ما اجازه میدهد بفهمیم چطور چنین باگ سادهای میتواند سر باز کند. در واقع اسمارتفونهای اندروید لاک اسکرینهای متعدد دارند شامل اسکرینی برای وارد کردن کد مخفی، پرامپی برای اسکن اثر انگشتتان یا پنجرهای برای وارد کردن کد SIM PIN. عبور موفقیتآمیز از تأییدها در اصل لاک اسکرین بعدی را هدف قرار میدهد (فرقی ندارد کدامیک). کل سیستم خوب کار میکند به غیر از لاک اسکرین کد PUK. وارد کردن PUK باعث شد تا عملکرد «رد کردن قفل صفحه» دو بار فراخوانی شود. به جای نشان دادن اسکرین اسکن اثر انگشت، گوشی قفل شد. مشکل با اصلاحات اصلی کد اندروید حل شد که در نهایت موجب شد هر لاک اسکرین به طور مستقل کنترل شود.
بوروکراسی در مقابل امنیت
پس چرا شش ماه طول کشید تا این آسیبپذیری جدی بسته شود؟ شوتز شرحی از آسیبپذیری را از طریق سرویس big bounty گوگل ارسال کرد. بر طبق قوانین برنامه، آسیبپذیری کشفشده برای عبور از لاک اسکرین روی چندین دستگاه (یا حتی همه) میتواند برای محقق جایزه 100 هزار دلاری به همراه داشته باشد. اما دیوید به جای پول نقد فقط هفتهها سکوت از سوی گوگل نصیبش شد. در نهایت هم گفتند تلاشش تکراری بوده و فرد دیگری از قبل به گوگل در خصوص این آسیبپذیری خبر داده! دیوید هم از ماجرا دست برداشت و ناامید شد. ماه سپتامبر فرا رسید (سه ماهی از گزارش او میگذشت) و مطمئن بود آسیبپذیری با مجموعه پچها رفع خواهد شد. اما نه، آپدیت سپتامبر هم نصب کرد ولی گوشیاش هنوز به او اجازه میداد با ترفند سیم کارت قفل را دور بزند. تصادفاً در ماه سپتامبر برای محققین امنیتی رویداد گوگل برگزار کرده بودند و دیوید آنجا شخصاً باگ را برای توسعهدهندگان شرکت نشان داد. آنجا بود که بعد از شش ماه در نهایت در ماه نوامبر، آسیبپذیری با آپدیت جدید اندروید رفع شد. حتی با اینکه گوگل گزارش باگ اولیه را دریافت کرده بود هیچ واکنشی نشان نداده بود. ژوئن 2022 هم گوگل پیامی در پاسخ به گزارش دیوید ارسال نکرد. فقط صحبت رو در روی دیوید با توسعهدهندگان بود که آسیبپذیری را بست! در آخر شوتز 70 هزار دلار آمریکا برای تلاشهایش دریافت نمود.
بهای امنیت
ما بعنوان کاربران اسمارتفون دست کم انتظار داریم باگهای حیاتی توسط توسعهدهندگان در اولویت قرار گیرند و به سرعت بسته شوند. ماجرای عبور از لاک اسکرین روی اسمارتفونهای اندروید نشان میدهد توسعهدهندگان گاهی کاهلی میکنند. همه چیز اینطور شروع شد: آسیبپذیری بواسطه محقق کلاه سفید -خوشبختانه- پیدا شد؛ کسی که انسانیت به خرج داد و آن را در دارکنت جایی که برای مقاصد شرورانه از اطلاعات استفاده میکنند نفروخت. در عوض خود شرکت را مطلع کرد. گوگل باید خیلی سریع حفره را میبست اما شش ماه آن را طول داد. سازمانهایی که با متخصصین امنیتی خارجی از طریق برنامههای بیگ باونتی مشارکت دارند نباید هیچ گزارشی را پشت گوش بیاندازند و حتماً باید آنقدری منابع تخصیصشده داشته باشند که درست سر بزنگاه باگها را رفع نمایند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
