شکست گوگل در بر طرف کردن باگ های امنیتی حساس آندروید

 

اینکه  در یک سیستم نرم افزاری باگ پیدا شود چیز عجیبی نیست. اینکه این باگ امنیت اکوسیستم را تهدید کند هم شاید چیز عجیبی نباشد. اما اینکه یک اکوسیستم دچار باگ های عجیب و غریب متعددی باشد و ارائه کننده آن نتواند مشکلات آن اکوسیستم را بر طرف کند  اما وقت زیادی را صرف مقابله با سایر اکوسیستم ها کند. پدیده ای ناخوشایند است.اعتراف می کنم که طرفدار اپل هستم ٬ اما همیشه سیستم عامل آندروید را به خاطر نقش آن در توسعه فناوری و کمک به عملی شدن ایده های نو با هزینه پایین ستایش کرده ام. یک دانش آموز دبیرستانی با استفاده از آندروید می تواند کار های خارق العاده زیادی را انجام دهد کار هایی که قبلا تنها توسط شرکت های بزرگ فناوری واقع در دره سیلیکون قابل انجام بودند. اما باید قبول کرد که آندروید  یک سیستم  مناسب برای کار های آزمایشی  و پروژه های متکشفانه است. اما این سیستم به اندازه کافی قابل اتکا نیست. مثل ماشین ارزانی  است واقعا می تواند باعث کاهش هزینه ها شود ولی نمی توان از عملکرد آن در مقابل یک خودروی خوب ژاپنی یا آلمانی دفاع کرد. همه این ها را گفتیم تا درباره شکست گوگل تامین امنیت آندروید صحبت کنیم. به گزارش آندروید سنترال به نقل از مجله شبکه  دو آسیب‌پذیری گسترده که باید وصله‌های آن در سریع‌ترین زمان ممکن عرضه می‌شدند، به‌دلیل اکوسیستم ضعیف و زیرساخت بد به‌روزرسانی‌های آندروید هنوز آماده تحویل نشده‌اند و این‌بار گوگل مقصر این داستان است. گوگل هفته گذشته، وصله‌ای را برای آسیب‌پذیری Stagefright عرضه کرد، سیستم‌هایی که به این آسیب‌پذیری آلوده باشند با ارسال یک پیام MMS به‌آسانی هک می‌شوند. این آسیب‌پذیری از نسخه ۲.۲ آندروید به بعد روی همه سیستم‌عامل‌های این شرکت وجود داشته و در مجموع ۹۵۰ میلیون دستگاه‌ را در معرض خطر قرار است. اما وصله عرضه شده از سوی گوگل کار نمی‌کند! وصله‌ای که متشکل از چهار خط کد بوده و توسط مهندسان گوگل برای تحویل مورد بازنگری قرار گرفته بود.

شرکت امنیتی Exodus Intelligence  می‌گوید: « عموم مردم بر این باور هستند که وصله ارائه شده کار نمی‌کند. ما ایمیل‌هایی برای گوگل ارسال کردیم و سعی کردیم درباره این مشکل کسب اطلاع کنند اما گوگل در خصوص به‌روزسانی این مشکل هیچ جوابی به ما نداد. در نتیجه تصمیم گرفتیم در خصوص عدم کارکرد وصله امنیتی منتشر شده از سوی گوگل عموم کاربران را مطلع سازیم.» Exodus می‌گوید: « گزارش این رخنه ۱۲۰ روز پیش برای گوگل ارسال شد که در حالت استاندارد و مطابق با قوانین امنیتی گوگل ۹۰ روز برای اصلاح این آسیب‌پذیری فرصت داشت. گوگل هنوز هیچ‌ اقدامی برای عرضه وصله‌ از طریق OTA که بتواند این آسیب‌پذیری را از دستگاه‌های آندروید پاک کند انجام نداده است. گوگل هیچ جدول زمانی برای رفع این مشکل امنیتی ارائه نکرده است.»

اگر هنوز هم فکر می‌کنید این خبر چندان بدی نیست، لازم است بدانید محققان آزمایشگاه MWR روز پنج‌شنبه اعلام کردند: « روشی را برای فرار از سندباکس آندروید شناسایی کرده‌اند. در این روش یک برنامه مخرب در قالب یک برنامه مدیریتی گوگل توانایی خواندن داده‌های حساس را بدون هیچ‌گونه مشکلی دارد این برنامه به‌راحتی توانایی دور زدن سندباکس آندروید را دارد.» آزمایشگاه MWR می‌گوید : «آن‌ها برای اولین بار این مشکل را در تاریخ ۱۷ مارس سال جاری میلادی به اطلاع گوگل رساندند و روز بعد این آسیب‌پذیری شناسایی شد. اما در این دو ماه هیچ‌گونه واکنشی از سوی گوگل دریافت نکردند. زمانی‌که آزمایشگاه MWR از گوگل سؤال کرد چه برنامه‌ای برای حل این مشکل دارد، گوگل اعلام کرد در دو هفته آینده، و باز هم در دو هفته آینده این مشکل برطرف خواهد شد. اکنون هفت هفته از دو هفته گوگل گذشته است و هنوز هیچ خبری از گوگل نشده!» در نهایت آزمایشگاه MWR ایمیلی برای گوگل ارسال کرد و اعلام کرد در نظر دارد عموم مردم را در خصوص این آسیب‌پذیری مطلع سازد. دن گودین روزنامه‌نگار بخش امنیتی این دو آسیب‌پذیری را به عنوان دو حفره برتر آندروید معرفی می‌کند. سامسونگ و HTC اعلام کرده‌اند در حال تغییر سیاست‌های خود در زمینه عرضه وصله‌های امنیتی هستند. این موضوع باعث می‌شود تا دارندگان دستگاه‌های این دو شرکت از مشکلات امنیتی کمتری برخوردار باشند.

بهنظر میرسد گوگل یک بخش کلیدی این مشکل است

لحظه محاسبه قابل اعتمادی که ویلیام به آن اشاره می‌کند اشاره به اتفاقی دارد که در سال ۲۰۰۲ برای محصولات مایکروسافت رخ داد و محصولات این شرکت به‌طور مرتب و یکی پس از دیگری در معرض حمله ویروس‌ها و کرم‌ها قرار گرفتند. در آن روزگار بیل گیتس نامه‌ای را برای کارمندان مایکروسافت ارسال کرد و در آن نوشت یک موضوع کاملا آشکار است. اگر مردم به محصولی اعتمادی نداشته باشند، آن محصول را خریداری نخواهند کرد؛ ما مجبور هستیم محصولات خود را تعمیر کنیم. یادداشتی که بیل گیتس در سال ۲۰۰۲ آن‌را برای کارمندان خود ارسال کرد، سرآغازی بر TwC (سرنام  Trustworthy Computing) شد. این اصطلاح اشاره به سیستم‌های محاسباتی دارد که بر مبنای امنیت، در دسترس بودن و قابل اعتماد بودن طراحی می‌شوند. زمانی‌که ویندوز ویستا در تاریخ ۸ نوامبر ۲۰۰۶ منتشر شد، بخش‌هایی از آن تحت SDL (سرنام security development lifecycle) طراحی شدند. ویندوز ۷ اولین سیستم‌عاملی بود که از ابتدا تا انتها به‌طور کامل تحت SDL طراحی شد، به‌طوری‌که تا تاریخ ۲۲ جولای ۲۰۰۹ در اختیار سازندگان بزرگ قرار نگرفت.

اکنون بازی برای آندروید در حال تغییر است. آندروید در حال حاضر از سوی مجرمان سایبری سازمان یافته و نهادهای دولتی در معرض تهدیدات مختلف قرار دارد و آن‌ها با استفاده از آسیب‌پذیری‌های موجود در آندروید عملیاتی را روی آن پیاده‌سازی می‌کنند. اما خوشبختانه آندروید در مکان بهتری نسبت به مایکروسافت ۲۰۰۲ قرار دارد. نسخه‌های جدیدی که از آن عرضه می‌شوند در مقایسه با Windows Me  یا ویندوز ایکس‌اپی ایمن‌تر هستند. اما کاملا روشن است، گوگل نیاز دارد مشکلات را به‌سرعت حل کند. همچنین بهتر است سازندگان دستگاه‌ها حرکتی شبیه به سامسونگ و HTC را در چرخه کاری خود پیاده‌سازی کنند. در نقطه مقابل آندروید، iOS اپل قرار دارد که به شیوه بهتری عمل می‌کند. اپل به‌تازگی به‌روزرسانی‌های لازم برای OS X و iOS را منتشر کرده است. فهرستی طولانی که مشکلات امنیتی مختلفی از جمله مشکلی که در نسخه ۱۰.۱۰.۵ سیستم‌عامل مک قرار داشته است را برطرف کرده است.

منبع نوشته : با استفاده از مقاله مجله شبکه

درباره نویسنده

امیررضا اسدی کارشناس ارشد مدیریت فناوری اطلاعات هستم.

نوشته‌های مرتبط

لطفا دیدگاه خود را ثبت کنید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *