تقول Google إنها يجب أن تقوم بعمل أفضل في تصحيح هواتف Android
يريد فريق “Project Zero” من محللي الأمان في Google تخليص العالم من الثغرات الأمنية في يوم الصفر ، وهذا يعني أنه يقضي وقتًا في استدعاء الشركات المتعثرة على مدونته ، وأحدث منشور للمجموعة عبارة عن نيران ودية تستهدف فرق Android و Pixel ، والتي يقول Project Zero إنها لا تتعامل مع الأخطاء في برنامج تشغيل وحدة معالجة الرسومات ARM بسرعة كافية ، وفي يونيو من العام الحالي
قام الباحث Maddie Stone من Project Zero Google بتفصيل عملية استغلال في البرية لـ Pixel 6 ، حيث يمكن للأخطاء الموجودة في برنامج تشغيل وحدة معالجة الرسومات ARM السماح للمستخدم غير المتميز بالحصول على حق الوصول للكتابة إلى ذاكرة القراءة فقط ، وقد أمضى باحث آخر في Project Zero ، وهو Jann Horn ، الأسابيع الثلاثة التالية في البحث عن نقاط الضعف ذات الصلة في التعريفات ، ويقول المنشور أن هذه الأخطاء يمكن أن تسمح “للمهاجم الذي لديه تنفيذ كود أصلي في سياق التطبيق” ، بالحصول على وصول كامل إلى النظام ، وتجاوز نموذج أذونات Android والسماح بالوصول الواسع إلى بيانات المستخدم.
ويقول Project Zero إنه أبلغ ARM بهذه المشكلات “بين يونيو ويوليو 2022” وأن ARM قام بإصلاح المشكلات “على الفور” في يوليو وأغسطس ، وأصدر نشرة أمنية (CVE-2022-36449) ونشر كود المصدر الثابت ، ولكن هذه الثغرات التي تم استغلالها بشكل نشط لم يتم تصحيحها للمستخدمين ، ويبدو أن المجموعات التي أسقطت الكرة هي Google والعديد من مصنعي الأجهزة الأصلية لنظام التشغيل Android ، كما يقول Project Zero أنه بعد شهور من إصلاح ARM للثغرات الأمنية ، “لا تزال جميع أجهزتنا الاختبارية التي استخدمت مالي عرضة لهذه المشكلات ، لم يرد ذكر CVE-2022-36449 في أي نشرات أمنية في المراحل النهائية “.
وتتضمن وحدات معالجة الرسومات ARM المتأثرة قائمة طويلة من الأجيال الثلاثة الماضية من معماريات ARM GPU (Midgard و Bifrost و Valhall) ، بدءًا من أجهزة الشحن حاليًا إلى الهواتف من عام 2016، التي لا تستخدم رقائق Qualcomm وحدات معالجة الرسومات الخاصة بـ ARM ، ولكن Tensor SoC من Google يستخدم ARM GPUs في Pixel 6 و 6a و 7 ، ويستخدم Exynos SoC من Samsung وحدات معالجة الرسومات ARM لهواتفها متوسطة المدى والرائد الدولية الأقدم مثل Galaxy S21 (فقط ليس Galaxy S22) ، SoCs Mediatek جميعهم من مستخدمي ARM GPU أيضًا ، لذلك نحن نتحدث عن الملايين من هواتف Android المعرضة للخطر من كل مصنعي أجهزة Android تقريبًا.
ورداً على مشاركة مدونة Project Zero ، قالت Google لـ Engadget ، “الإصلاح المقدم من Arm يخضع حاليًا للاختبار لأجهزة Android و Pixel وسيتم تسليمه في الأسابيع المقبلة ، فسيُطلب من شركاء Android OEM إجراء التصحيح للامتثال لـ متطلبات SPL المستقبلية ” ، وقدأنهى محللو Project Zero منشور المدونة الخاص بهم ببعض النصائح لزملائهم ، قائلين ، “مثلما يُنصح المستخدمون بالتصحيح بأسرع ما يمكن بمجرد توفر إصدار يحتوي على تحديثات أمنية ، لذلك ينطبق الأمر نفسه على البائعين والشركات ، التقليل من يمكن القول إن “فجوة التصحيح ” كبائع في هذه السيناريوهات أكثر أهمية
حيث يحظر المستخدمون النهائيون (أو البائعون الآخرون في نهاية المطاف) هذا الإجراء قبل أن يتمكنوا من الحصول على الفوائد الأمنية للتصحيح ، وتحتاج الشركات إلى أن تظل يقظة ، ومتابعة المصادر الأولية عن كثب ، ويبذلون قصارى جهدهم لتوفير تصحيحات كاملة للمستخدمين في أسرع وقت ممكن.
شاهد أيضًا: مراجعة لاب توب LG gram 17 (2022)
