بررسی امنیت سامانه‌ی عامل Firefox OS

موسسه خبری سایبربان:Firefox OS سامانه‌ی عاملی است که بنیاد موزیلا برای دستگاه‌های همراه ارائه کرده و نوید انطباق‌پذیری بالا با دستگاه‌های مختلف را می‌دهد. اما با وجود شدت گرفتن ظهور تهدید‌های امنیتی برای دستگاه‌های همراه، به ویژه در سامانه‌ی عامل اندروید گوگل، این سؤال مطرح می‌شود که امنیت Firefox OS چگونه است؟

 

Firefox OS از یک هسته‌ی لینوکس استفاده کرده و به یک محیط اجرای مبتنی بر Gecko بوت1 می‌شود؛ این محیط به کاربر اجازه می‌دهد برنامه‌هایی را که تماماً با استفاده از HTML، JavaScript و سایر فناوری‌های بازِ وب ایجاد شده‌اند، اجرا کند. روی هم رفته این سامانه‌ی عامل، مدیریت مجوزهای برنامه‌ها را به خوبی انجام می‌دهد، اما فرایندهای اصلی (با سطح دسترسی بیشتر) می‌توانند به هدفی برای سوءاستفاده‌های مخرب تبدیل شوند. علاوه براین، قابلیت‌های HTML5 نیز می‌توان منبعی برای آسیب‌پذیری‌های احتمالی باشند.

 

 

Firefox OS باید نرم‌افزارهای مبتنی بر وب را به سخت‌افزار مرتبط سازد. این کار با استفاده از تعدادی فناوری در کنار یکدیگر که از لایه‌های زیر تشکیل شده‌اند، انجام می‌شود:

 

   

لایه‌ی Gonk از هسته‌ی لینوکس، پرونده‌های دودویی سامانه، ثابت‌افزار و درایور سخت‌افزارها تشکیل شده است.

 

Gecko محیط زمان‌اجرای2 نرم‌افزارها است که بستر اجرای برنامه‌ها را به وجود آورده و APIهای وب استفاده شده برای دسترسی به قابلیت‌های دستگاه‌ها را در خود دارد.

 

Gaia مجموعه‌ی نرم‌افزارهای وبی است که رابط کاربری را تشکیل می‌دهند (نرم‌افزارها از HTML5، CSS، JavaScript، تصاویر، صدا و … تشکیل شده اند). لایه‌ی Gecko به عنوان واسطی میان نرم‌افزارهای وب (در لایه‌ی Gaia) و دستگاه همراه عمل می‌کند. همچنین بر مجوزها نظارت کرده و از درخواست‌های غیرمجاز جلوگیری به عمل می‌آورد.

 

 

Firefox OS همچنین دارای طراحی لایه‌ی برنامه‌ی مختص خود است. در این سامانه سه نوع برنامه وجود دارد: نرم‌افزارهای میزبانی‌شده (hosted)، نرم‌افزار دارای دسترسی (privileged) و نرم‌افزار تأیید‌شده (certified).

 

نرم‌افزارهای میزبانی‌شده را می‌توان از هر وبگاهی نصب کرد، بدون آنکه نیازی به بررسی و تأیید آن‌ها باشد. این مسأله هیچ مجوزی بیشتر از آن‌ها که در اختیار یک وبگاه است، در اختیار نرم‌افزار قرار نمی‌دهد. نرم‌افزارهای دارای دسترسی می‌توانند درخواست مجوزهای بیشتری داشته باشند، اما باید ازقبل توسط یک فروشگاه نرم‌افزار بررسی و امضا شده باشد. نرم‌افزارهای تأیید شده، که دارای بیشترین مجوزها هستند، تنها می‌توانند توسط تولیدکننده‌ی دستگاه از پیش بر روی آن نصب شده باشند.

 

   

 

 

در لایه‌ی Gecko یک پردازش B2G وجود دارد که دارای سطح دسترسی بالایی بوده و در پس‌زمینه اجرا می‌شود، و تمام برنامه‌های دیگر زیر نظر آن و با اختیارات محدود اجرا می‌شوند. تمام درخواست‌های مربوط به سخت‌افزار که توسط نرم‌افزارها ارسال شوند، باید از پردازش B2G عبور کنند، و B2G نیز مجوزهای برنامه را بررسی می‌کند.

 

 

Firefox OS همچنین دارای سازوکار سندباکس کاملی است. هر برنامه در فضای کاریِ خود اجرا شده و تنها امکان دسترسی به APIهای وب و داده‌هایی که مجوز آن‌ها را دارا است، و همچنین منابع مرتبط با فضای کاری خود (پایگاه‌های داده، کوکی‌ها، ذخیره‌سازی محلی و …) را دارد.

 

علاوه بر این، نرم‌افزارها تنها با B2G ارتباط برقرار می‌کنند، نه سایر پردازش‌ها و یا برنامه‌ها. برنامه‌ها مستقل از B2G اجرا نشده و همچنین نمی‌توانند برنامه‌های دیگر را «باز» کنند. تنها راه «ارتباط» میان برنامه‌ها، غیرمستقیم است و توسط B2G انجام می‌شود.

 

 

B2G پردازش اصلی در Firefox OS است. این پردازش در لایه‌ی Gecko قرار دارد. اگر مهاجم بتواند این پردازش را مورد سوءاستفاده قرار دهد، سطح دسترسی بسیار بالایی پیدا خواهد کرد (مانند سطح دسترسی root).

 

تقریباً یک ماه پیش یک آسیب‌پذیری در Firefox 17 یافته شد که می‌توان از آن برای اجرای کدهای دلخواه استفاده کرد. از این آسیب‌پذیری می‌توان برای از کار انداختن پردازش B2G و کنترل IP (اشاره‌گر دستورالعمل) استفاده کرد. این مسأله به مهاجم امکان می‌دهد با بهره‌گیری از سطح دسترسی B2G به اجرای کدهای دلخواه خود بر روی دستگاه اقدام کند.

 

مستندسازی‌های انجام شده توسط موزیلا نیز سوءاستفاده از B2G را به عنوان یک نقطه‌ی حمله در Firefox OS مطرح کرده است.

 

 

از آنجا که برنامه‌های Firefox OS با استفاده از HTML5 ساخته شده‌اند، می‌توان انتظار داشت در آینده از آسیب‌پذیری‌های HTML5 نیز برای حمله به این سامانه‌ی عامل استفاده شود.

 

تا کنون از آسیب‌پذیری‌های HTML5 برای حملاتی متعددی مانند ارسال هرزنامه، ایجاد بیت‌کوین‌های غیرمجاز، فیشینگ و ایجاد یک بات‌نت مبتنی بر مرورگر، سوءاستفاده شده است. از آنجا که حملات انجام شده با استفاده از HTML5 مبتنی بر حافظه هستند، ضدبدافزارهای سنتی در جلوگیری از آن‌ها دچار مشکل خواهند بود.

 

هرچند که Firefox OS دارای سهمی مشابه با سهم بازار اندروید نیست، اما استفاده از HTML5 به تدریج میان کاربران در حال افزایش است (آمازون نیز در نرم‌افزارهای خود HTML5 را می‌پذیرد). در نتیجه صرف نظر از سامانه‌ی عامل، می‌توان انتظار داشت که با گسترش استفاده‌ی برنامه‌ها و وبگاه‌ها از HTML5، چنین حمله‌هایی در آینده افزایش خواهند یافت.