باحثون يكتشفون ثغرة أمنية في نظام أندرويد تعد الأسوأ من نوعها

اكتشف الباحثون الأمن مؤخرا يعتبر الأسوأ من نوعه والمكتشف في نظام أندرويد ثغرة أمنية. الكشف عنها تم  في مكتبة الوسائط من نظام التشغيل، هذا الخطأ المسمى “Stagefright” يعرض ما يقرب من 1 مليار جهاز الروبوت البرمجيات الخبيثة.

من خلال استغلال الخلل “Stagefright”، يمكن للقراصنة الوصول إلى جهات الاتصال والبيانات الأخرى المخزنة في جهاز محمول مثل الصور والفيديو.

يمكنهم أيضا الوصول إلى الميكروفون والكاميرا هذا الجهاز، مما يسمح لهم للتجسس على المستخدم من خلال تسجيل والتقاط الصور لها.

تتأثر جميع أجهزة تشغيل الروبوت 2.2 إصدارات FROYO تصل إلى 5.1.1 الإصدارات المصاصة. وهذا يمثل حوالي 95٪ من جميع محطات الروبوت.

الأكثر إثارة للخوف هو أن قراصنة تحتاج رقم هاتف المستخدم فقط لتصيب أجهزتهم.

يتم نقل البرمجيات الخبيثة عند إرسال رسالة وسائط متعددة إلى أي تطبيق البريد الإلكتروني التي يمكن التعامل مع صيغ الفيديو MPEG4، مثل الافتراضي تطبيق البريد الإلكتروني على جهاز الروبوت، ال WhatsApp أو جوجل خروجات. كتلك تطبيقات الرسائل الروبوت استعادة أشرطة الفيديو أو محتوى الصوت تلقائيا، يتم تنفيذ التعليمات البرمجية الخبيثة دون المستخدم الحاجة إلى القيام بأي شيء.

في الواقع، لا يتطلب خطأ أن الضحية فتح الرسالة أو ينقر على وصلة.

هذا هو الخبيثة فريد من نوعه لهذا النوع من التهديد وعادة ما يتطلب العمل من جانب المستخدم الذي أصاب الجهاز.

هذا أمر خطير للغاية لأنه إذا كان يصاب المستخدمين عبر MMS، سوف تكون هناك حاجة إلى عمل لهم والآثار السلبية وغير محسوس. حتى قبل أن يلاحظ الضحايا، وhacker غير قادرة على تنفيذ التعليمات البرمجية وإزالة جميع الأدلة تثبت أن الجهاز قد اصيبوا بالعدوى.

حلم الدكتاتور ومجرمي الانترنت

مجرمو الإنترنت الاستفادة من هذا ثغرة أمنية للتجسس على ملايين من الناس وتنفيذ الشيفرات الخبيثة الأخرى.

يمكن للقراصنة تراقب الناس من حولهم كما أزواجهم أو جيرانهم بسهولة.

انهم يريدون ان يفعلوا ما رقم هاتف الشخص.

للقراصنة أيضا فرصة لسرقة المعلومات الشخصية التي سوف تستخدم لابتزاز ملايين من الناس أو سرقة هويتهم.

تؤخذ العواقب المحتملة لهذا النوع من الخطأ على محمل الجد.

بقع حاجة ماسة

يجب الآن أن تقدم بقع كاملة من قبل مصنعي الهواتف مع جهاز التحكم عن بعد التحديث أو “على الهواء” (OTA) البرامج الثابتة لالروبوت الإصدارات 2.2 وما فوق. للأسف والتحديثات لأجهزة الروبوت اتخذت دائما وقتا طويلا للوصول إلى المستخدم النهائي.

من جانبها استجابت جوجل بالفعل بعد شهادة هتك نشرت في الولايات المتحدة صحفي أسبوعي مجلة تايم “HTC جوجل علم هذه المسألة، وقدمت تصحيحات ضرورية qu’HTC بدأت تنظر في مشاريع نفذت في بداية يوليو. تشمل جميع المشاريع الحالية التصحيح المطلوبة. “

في الوقت الراهن، وكإجراء احترازي، فمن المستحسن أن المستخدمين تعطيل ميزة الاسترداد التلقائي للMMS في الإعدادات الافتراضية لتطبيق البريد الإلكتروني.