میلیون ها گوشی اندروید بلافاصله بعد از جعبه گشایی آسیب پذیر هستند

ملتداون (آسیب‌پذیری امنیتی) در گوشی‌های هوشمند معمولا از فعالیت‌های خود شما نشات می‌گیرند؛ وقتی روی یک لینک اشتباه کلیک می‌کنید یا یک اپلیکیشن اشتباه نصب می‌کنید. اما میلیون‌ها گوشی اندروید حتی قبل از جعبه‌گشایی هم سفت‌افزار آسیب‌پذیر دارند و آماده سوءاستفاده هستند. می‌پرسید چه کسی این آسیب‌پذیری‌ها را به گوشی شما اضافه کرده؟ ترکیب تولیدکننده گوشی و واسطه‌ای که آن را به شما فروخته است.

این یکی از یافته‌های اصلی تحلیل جدید شرکت ایمنی موبایل Kryptowire است که به باگ‌های از پیش بارگذاری شده روی ۱۰ مدل گوشی پرفروش واسطه‌های پخش اصلی در ایالات متحده می‌پردازد. آنجلوس استارو مدیرعامل و رایان جانسون مدیر تحقیقات شرکت Kryptowire یافته‌های این تحلیل را در کنفراس Black Hat ارائه کردند. ما نیز در این پست به برخی از این یافته‌ها اشاره می‌کنیم تا بیشتر با اشکالات گوشی اندروید خودتان آشنا شوید!

خروجی بالقوه آسیب‌پذیری‌های گوشی اندروید شدت‌های متفاوتی دارند؛ از به دست گرفتن کنترل گوشی دیگران تا دسترسی مخفیانه به میکروفون و سایر امکانات گوشی. صرف نظر از شدت آسیب‌پذیری، همه آنها یک ویژگی مشترک ندارند: نباید در گوشی‌های ما باشند.

اینها محصولات جانبی یک سیستم عامل اندروید متن‌باز هستند که امکان دستکاری کدها را به شرکت‌های شخص ثالث می‌دهند. این محصولات به صورت ذاتی مشکلی ندارند و حتی با افزایش تنوع محصولات نهایی، قدرت انتخاب کاربران را بیشتر می‌کنند. با این وجود این تغییرات و دستکاری‌ها در سیستم عامل اندروید، دردسرهایی هم دارد. یکی از شناخته‌شده‌ترین مشکلات هم تاخیر در ارسال آپدیت‌های امنیتی است که می‌تواند با ایجاد باگ‌های سفت‌افزاری کاربران را به ریسک بیاندازد. به اعتقاد استارو دامنه این مشکل در گوشی اندروید بسیار گسترده است:

«قرار نیست این مشکل حل بشود و از بین برود چون بسیاری از افراد زنجیره تامین گوشی هوشمند می‌خواهند اپلیکیشن‌های خودشان را اضافه کنند و کدهای خودشان را شخصی‌سازی کنند. همین سطح حمله امنیتی و احتمال خطای نرم‌افزاری را افزایش می‌دهد. اینها کاربر نهایی را در معرض خطراتی قرار می‌دهد که کاربر توانایی واکنش به آنها را ندارد.»

این تحلیل بیش از هر چیز روی محصولات گوشی اندروید Asus، LG، Essential و ZTE تمرکز دارد. به مورد آخر باید بیشتر توجه کرد چون وزارت امنیت ملی ایالات متحده اعلام کرده این کمپانی چینی یک تهدید امنیتی محسوب می‌شود (هر چند دلایل و شواهدی برای این ادعا ارائه نشده است).

شرکت Kryptowire که توسط همین وزارت تاسیس شده هم این ادعا را تایید نکرده و به جای تمرکز بر انگیزه تولید‌کنندگان به دنبال پیدا کردن مشکلات ناشی از کدهای بد وارد شده به اکوسیستم اندروید است. برای مثال بررسی سری گوشی اندروید ZenFone V Live کمپانی Asus در این تحلیل نشان داد کاربران آن در معرض تصاحب مخفیانه کامل سیستم از جمله گرفتن اسکرین‌شات و ضبط ویدیو از صفحه گوشی کاربر، برقراری تماس تلفنی، خواندن و ویرایش پیام‌های متنی و … هستند. این سطح وسیع از باگ‌های امنیتی برای یک گوشی اندروید بسیار عجیب است و به همین خاطر کمپانی Asus در بیانیه‌ای به آنها پرداخته است:

«کمپانی Asus از ایرادات امنیتی سری ZenFone آگاه است و سعی دارد با ارائه آپدیت‌های نرم‌افزاری آنها را برطرف کند. Asus متعهد به تامین امنیت و حریم شخصی کاربران است و به کاربران ZenFone توصیه می‌کند برای تجربه کاربری ایمن و مطمئن از آخرین نسخه نرم‌افزار ZenFone استفاده کنند.»

در این مرحله ارائه آپدیت تنها کاری است که کمپانی Asus می‌تواند برای رفع این بحران انجام بدهد. با این حال استارو سوالات جالبی درباره کارایی فرایند پچینگ مطرح می‌کند. کاربر باید پچ آپدیت را بپذیرد تا به‌روزرسانی نرم‌افزار انجام بشود و توقف چنین فرایندی از سوی هکری که کنترل گوشی را به دست گرفته، بسیار ساده است! حتی در برخی از مدل‌های مورد آزمایش Kryptowire فرایند آپدیت به خودی خود دچار مشکل شده و گزارش شرکت‌های دیگر هم این مورد را تایید می‌کند.

حمله‌های امنیتی که در تحلیل Kryptowire مورد بررسی قرار گرفته‌اند، اغلب نیاز به نصب یک اپلیکیشن دارند. اگرچه این یک عامل محدودکننده برای هک‌های احتمالی محسوب می‌شود اما این اپلیکیشن‌ها در حین نصب نیاز به امتیازات دسترسی ویژه ندارند و همین آسیب‌پذیری‌ها را مخرب‌ می‌کند. به عبارت دیگر، اپلیکیشن حاوی بدافزار برای دسترسی به پیام‌ها و تماس‌های شما نیاز به فریب دادن شما ندارد. به لطف سفت‌افزار خراب گوشی اندروید شما به سادگی و کاملا مخفیانه این دسترسی را پیدا می‌کند.

این سناریو – بسته به مدل گوشی اندروید – می‌تواند خروجی‌های مختلف داشته باشد. شکاف‌های سفت‌افزار گوشی‌های Blade Spark و Blade Vantage کمپانی ZTE به هر اپلیکیشنی اجازه دسترسی به پیام‌ها، تماس‌های تلفنی و logcat (که پیام‌های سیستم را جمع‌آوری می‌کند و شامل اطلاعاتی نظیر آدرس ایمیل، مختصات GPS و … است) را می‌دهد. گوشی اندروید LG G6 که محبوب‌ترین مدل این تحلیل بوده هم آسیب‌پذیری‌هایی دارد که امکان دسترسی به logcat را به هکرها می‌دهد و حتی هکرها می‌توانند کنترل گوشی را از دست کاربر خارج کنند. به این ترتیب هکر می‌تواند گوشی را فکتوری ریست کند و به این ترتیب داده‌ها و فایل‌های کش خودش را از بین ببرد.

به نظر می‌رسد کمپانی LG برخی از این مشکلات را حل کرده است. آنطور که در بیانیه این کمپانی آمده، LG از تمام آسیب‌پذیری‌ها آگاه است و حتی برخی از آنها را در آپدیت‌های امنیتی پیشین برطرف کرده است. موارد دیگر هم در آپدیت‌ها و پچ‌های زمانبندی شده پاسخ داده شده‌اند. کمپانی‌های دیگری که گوشی‌های اندروید آنها در تحلیل مورد بررسی قرار گرفته‌اند هم بیانیه‌هایی با همین مضمون منتشر کرده‌اند و همه آنها قصد دارند این آسیب‌پذیری‌ها را از طریق آپدیت‌های متوالی برطرف کنند.

این بیاینه‌ها فرایند حل مشکل را نشان می‌دهند اما به طور ضمنی روی مشکل اصلی تاکید می‌کنند. ساخت و تست این آپدیت‌ها چند ماه طول می‌کشد و باید مسیر طولانی تولیدکننده به واسطه به مشتری را طی کند. در طول این مدت هم کاری از دست کاربران برنمی‌آید و حتی ممکن است متوجه آسیب‌پذیری‌های امنیتی هم نشوند.

«نکته واضح این است که کسی از کاربران در برابر این حفره‌های امنیتی محافظت نمی‌کند. این آسیب‌پذیری‌ها آنقدر عمیق هستند که حتی کاربران نمی‌توانند آنها را ثابت کنند و حتی اگر اینکار را انجام بدهند، چاره‌ای جز انتظار برای تولیدکننده یا واسط (یا هر کسی که سفت‌افزار گوشی اندروید را آپدیت می‌کنند) ندارند.»

همانطور که در ابتدا گفتیم کدهای شخص ثالث و اپلیکیشن‌ها علت اصلی بروز این آسیب‌پذیری‌ها هستند و به نظر نمی‌رسد به زودی از میان برداشته بشوند. تا زمانی که این موارد در چرخه تولید و تامین گوشی هوشمند وجود داشته باشند، باید انتظار حفره‌های امنیتی در گجت‌هایتان را داشته باشید.

منبع