هشدار گوگل مبنی بر آسیب‌پذیری گوشی‌های اندرویدی

به گزارش کارگروه امنیت سایبربان؛ گوگل می‌گوید که با سازندگان گوشی‌های هوشمند اندرویدی همکاری خواهد کرد تا آن‌ها را وادار کند تا وصله‌هایی را برای چندین باگ مهم درایور پردازنده گرافیکی آرم مالی (Arm Mali) منتشر کنند.

بسیاری از گوشی‌های هوشمند اندرویدی در برابر چندین مشکل امنیتی با شدت بالا که پروژه صفر گوگل در تابستان گزارش کرده، آسیب‌پذیر هستند، اما علی‌رغم انتشار اصلاحات آرم برای آن‌ها، بدون اصلاح باقی مانده‌اند.

گوشی‌های اندرویدی مجهز به پردازنده‌های گرافیکی آرم مالی تحت تأثیر ایرادات اصلاح‌نشده قرار دارند. همان‌طور که محقق پروژه صفر گوگل، ایان بیر (Ian Beer) اشاره می‌کند، حتی تلفن‌های پیکسل گوگل، مانند گوشی‌های سامسونگ، شیائومی، اوپو و سایرین آسیب‌پذیر هستند.

بیر از تمام فروشندگان اصلی گوشی‌های هوشمند اندرویدی می‌خواهد که دقیقاً همان کاری را انجام دهند که همیشه به مصرف‌کنندگان گفته می‌شود و دستگاه‌های خود را در اسرع وقت به‌روزرسانی کنند. در حال حاضر، خود کاربران گوشی‌های هوشمند نمی‌توانند وصله‌ای برای درایور پردازنده گرافیکی آرم مالی اعمال کنند، علی‌رغم اینکه آرم ماه‌ها پیش اصلاحاتی را برای آن‌ها منتشر کرده بود، زیرا هیچ فروشنده گوشی‌های هوشمند اندرویدی این اصلاحات را روی بیلدهای اندرویدی خود اعمال نکرده است.

همان‌طور که بیر در یک پست وبلاگی اشاره می‌کند، جان هورن، محقق پروژه صفر گوگل، پنج آسیب‌پذیری قابل بهره‌برداری را در درایور جی پی یو (GPU) مالی پیدا کرده است که توسط پروژه صفر گوگل به‌عنوان شماره‌های 2325، 2327، 2331، 2333، 2334 ردیابی می‌شوند. این موارد در ژوئن و ژوئیه 2022 به آرم گزارش شده است.

آرم آن‌ها را در ژوئیه و اوت اصلاح کرده و شناسه آسیب‌پذیری CVE-2022-36449 را به آن‌ها اختصاص داده است، آن‌ها را در صفحه آسیب‌پذیری درایور آرم مالی نیز فاش نموده و منبع درایور اصلاح شده را در وب‌سایت توسعه‌دهنده عمومی خود منتشر کرد. یکی دیگر از اشکالات جی پی یو آرم مالی به‌عنوان CVE-2022-33917 ردیابی می‌شود. بیر در گزارش خود در مورد فاصله زمانی ارائه به‌روزرسانی توسط فروشندگان تلفن‌های اندرویدی به هر دو باگ اشاره می‌کند.

بنابراین، برای چندین ماه، فروشندگان اطلاعاتی را برای وصله آن‌ها در اختیار داشتند، اما در بررسی اخیر توسط پروژه صفر گوگل، هیچ یک از برندهای اصلی گوشی‌های اندرویدی برای آن‌ها اصلاحی منتشر نکرده است.

پروژه صفر گوگل، مطابق با سیاست‌های خود، مسدود کردن دسترسی عمومی به گزارش‌های پنج‌گانه‌اش را نیز لغو کرده است، به این معنی که هر کسی که بخواهد می‌تواند اکنون بیشتر اطلاعات مورد نیاز خود را برای ایجاد اکسپلویت برای باگ‌ها که بر اکثر تلفن‌های اندرویدی مدرن تأثیر می‌گذارد، داشته باشد.

خوشبختانه، به نظر می‌رسد که تیم پیکسل گوگل و تیم اندروید در این مورد در دسترس هستند. از این هفته، تیم اندروید در حال صحبت با سازندگان گوشی‌های هوشمند اندرویدی (OEM) است و از آن‌ها می‌خواهد آسیب‌پذیری‌ها را اصلاح کنند تا از خط‌مشی سطح وصله امنیتی (SPL) گوشی‌های هوشمند اندروید پیروی کنند؛ اما تیم پیکسل تا چند هفته اصلاحیه نخواهد داشت. سایر سازندگان گوشی‌های هوشمند اندرویدی نیز درنهایت همین روند را دنبال خواهند کرد.

تیم ویلیس، محقق پروژه صفر گوگل، روز سه‌شنبه در هر پنج گزارش باگ نوشت: به‌روزرسانی از اندروید و پیکسل.

ویلیامز به نقل از یکی از افراد تیم‌های اندروید و پیکسل می‌گوید:

اصلاح ارائه‌شده توسط آرم در حال حاضر در حال آزمایش برای دستگاه‌های اندروید و پیکسل است و در هفته‌های آینده ارائه خواهد شد. شرکای سازندگان گوشی‌های هوشمند اندرویدی ملزم به دریافت وصله برای مطابقت با الزامات سطح وصله امنیتی آینده خواهند بود.

برای بیر، این موضوع یک یادآوری است که فروشندگان باید کاری را انجام دهند که به مصرف‌کنندگان گفته می‌شود.

بیر می‌نویسد:

همان‌طور که به کاربران توصیه می‌شود پس از در دسترس قرار گرفتن نسخه‌ای حاوی به‌روزرسانی‌های امنیتی، با حداکثر سرعتی که می‌توانند به‌روز شوند، همین امر در مورد فروشندگان و شرکت‌ها نیز صدق می‌کند.

به حداقل رساندن فاصله زمانی بین به‌روزرسانی‌ها به‌عنوان فروشنده در این سناریوها مسلماً مهم‌تر است، زیرا کاربران نهایی (یا سایر فروشندگان پایین‌دست) قبل از اینکه بتوانند مزایای امنیتی وصله را دریافت کنند، این اقدام را مسدود می‌کنند.

شرکت‌ها باید هوشیار باشند، منابع بالادستی را از نزدیک دنبال کنند و تمام تلاش خود را برای ارائه به‌روزرسانی‌های کامل به کاربران در اسرع وقت انجام دهند.