روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تابستان 2022، دیوید شوتز –متخصص امنیت سایبری- بعد از کل رانندگی در جاده به خانه برمی‌گشت. باتری اسمارت‌فون Google Pixel 6 او تمام شده بود: وقتی در نهایت به خانه رسید فقط یک درصد شارژ داشت و درست وسط پیام دادن همان یک درصد هم تمام و گوشی خاموش شد. شوتز شارژرش را پیدا کرد و توانست گوشی را دوباره روشن کند اما نتوانست ادامه پیام را بدهد- باید کد SIM PIN وارد می‌کرد. دیوید بعد از صفری طولانی سه بار پین را اشتباه وارد کرد. این یعنی وارد کردن کد مخفی دیگر به نام PUK. دیوید با انجام این کار دعوت شد به آنلاک کردن گوشی با اثر انگشت اما بعد از شناخته شدن اثر انگشت، گوشی هنگ کرد.

هر کس دیگری شاید این مشکلات را ناشی از گیرهای نرم‌افزاری بداند، گوشی را ریستارت کند و به زندگی خود ادامه دهد. اما دیوید که محققی با شامه قوی است و خوب می‌داند دلیل رفتارهای عجیب دستگاه‌ها و نر‌م‌افزارها چیست تصمیم گرفت سر در بیاورد چرا گوشی‌اش بعد از ریستارت دیگر آنلاک شدن کد را نمی‌خواهد. بعد از چندین بار تلاش ناموفق او متوجه شد در این مورد ریستارت غیرضروری است.  برداشتن اسمارت‌فون قفل‌شده، برداشتن سیم کارت، از نو گذاشتن سیم، وارد کرد پین کد اشتباهی آن هم سه بار، وارد کردن کد PUK. بعد همه اینها چه اتفاقی می‌افتد؟ به نظر می‌رسد می‌توانید تماماً از لاک اسکرین گوشی عبور کنید! شوتز جزئیات کشف خود را در بلاگ خود گذشاته اما اگر فکر می‌کنید گوگل سریعاً را رفع کرده در اشتباهید! این حفره امنیتی تقریباً شش ماه است بسیاری از اسمارت‌فون‌هایی که اندروید (نسخه‌های 11 تا 13) را اجرا می‌کنند تهدید می‌کند (از ماه ژوئن تا نوامبر!).

چه شده؟!

در اصل، این آسیب‌پذیری به فرد اجازه می‌دهد تا لاک اسکرین را رد کرده به همه داده‌های گوشی بدون اینکه کد مخفی را بداند دسترسی پیدا کند. هیچ مکانیزم پیچیده حمله‌ای نیاز نیست. و نیازی هم ندارد مهاجم به دستگاه خارجی به اسمارت‌فون کانکت شود یا در نرم‌افزار دنبال آسیب‌پذیری‌ها بگردد. فقط سیم کارت را در می‌آورید دوباره می‌گذارید (مهاجم می‌تواند سیم خود را وارد کند)، پین را سه بار اشتباه وارد می‌کنید، کد PUK را زده، پین را تغییر داده و حالا به گوشی دسترسی دارید. اما این باید یادتان باشد که گوشی بایست روشن باشد و از قبل توسط صاحب خود دست کم یک بار آنلاک شده باشد. نرم‌افزار آسیب‌پذیر در آن بخش اندروید قرار دارد که آزادانه توزیع شده است- جایی که هر کس می‌تواند کد منبع را ببیند. این به ما اجازه می‌دهد بفهمیم چطور چنین باگ ساده‌ای می‌تواند سر باز کند. در واقع اسمارت‌فون‌های اندروید لاک اسکرین‌های متعدد دارند شامل اسکرینی برای وارد کردن کد مخفی، پرامپی برای اسکن اثر انگشت‌تان یا پنجره‌ای برای وارد کردن کد SIM PIN. عبور موفقیت‌آمیز از تأییدها در اصل لاک اسکرین بعدی را هدف قرار می‌دهد (فرقی ندارد کدامیک). کل سیستم خوب کار می‌کند به غیر از لاک اسکرین کد PUK. وارد کردن  PUK باعث شد تا عملکرد «رد کردن قفل صفحه» دو بار فراخوانی شود. به جای نشان دادن اسکرین اسکن اثر انگشت، گوشی قفل شد. مشکل با اصلاحات اصلی کد اندروید حل شد که در نهایت موجب شد هر لاک اسکرین به طور مستقل کنترل شود.

بوروکراسی در مقابل امنیت

پس چرا شش ماه طول کشید تا این آسیب‌پذیری جدی بسته شود؟ شوتز شرحی از آسیب‌پذیری را از طریق سرویس big bounty گوگل ارسال کرد. بر طبق قوانین برنامه، آسیب‌پذیری کشف‌شده برای عبور از لاک اسکرین روی چندین دستگاه (یا حتی همه) می‌تواند برای محقق جایزه 100 هزار دلاری به همراه داشته باشد. اما دیوید به جای پول نقد فقط هفته‌ها سکوت از سوی گوگل نصیبش شد. در نهایت هم گفتند تلاشش تکراری بوده و فرد دیگری از قبل به گوگل در خصوص این آسیب‌پذیری خبر داده! دیوید هم از ماجرا دست برداشت و ناامید شد. ماه سپتامبر فرا رسید (سه ماهی از گزارش او می‌گذشت) و مطمئن بود آسیب‌پذیری با مجموعه پچ‌ها رفع خواهد شد. اما نه، آپدیت سپتامبر هم نصب کرد ولی گوشی‌اش هنوز به او اجازه می‌داد با ترفند سیم کارت قفل را دور بزند. تصادفاً در ماه سپتامبر برای محققین امنیتی رویداد گوگل برگزار کرده بودند و دیوید آنجا شخصاً باگ را برای توسعه‌دهندگان شرکت نشان داد. آنجا بود که بعد از شش ماه در نهایت در ماه نوامبر، آسیب‌پذیری با آپدیت جدید اندروید رفع شد. حتی با اینکه گوگل گزارش باگ اولیه را دریافت کرده بود هیچ واکنشی نشان نداده بود. ژوئن 2022 هم گوگل پیامی در پاسخ به گزارش دیوید ارسال نکرد. فقط صحبت رو در روی دیوید با توسعه‌دهندگان بود که آسیب‌پذیری را بست! در آخر شوتز 70 هزار دلار آمریکا برای تلاش‌هایش دریافت نمود.

بهای امنیت

ما بعنوان کاربران اسمارت‌فون دست کم انتظار داریم باگ‌های حیاتی توسط توسعه‌دهندگان در اولویت قرار گیرند و به سرعت بسته شوند. ماجرای عبور از لاک اسکرین روی اسمارت‌فون‌های اندروید نشان می‌دهد توسعه‌دهندگان گاهی کاهلی می‌کنند. همه چیز اینطور شروع شد: آسیب‌پذیری بواسطه محقق کلاه سفید -خوشبختانه- پیدا شد؛ کسی که انسانیت به خرج داد و آن را در دارک‌نت جایی که برای مقاصد شرورانه از اطلاعات استفاده می‌کنند نفروخت. در عوض خود شرکت را مطلع کرد. گوگل باید خیلی سریع حفره را می‌بست اما شش ماه آن را طول داد. سازمان‌هایی که با متخصصین امنیتی خارجی از طریق برنامه‌های بیگ باونتی مشارکت دارند نباید هیچ گزارشی را پشت گوش بیاندازند و حتماً باید آنقدری منابع تخصیص‌شده داشته باشند که درست سر بزنگاه باگ‌ها را رفع نمایند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.