گوگل هشدار می دهد که سازندگان گوشی های هوشمند اندرویدی باید در وصله دستگاه های خود بهتر عمل کنند.
در یک پست وبلاگ () که توسط بازوی امنیت سایبری گوگل، Project Zero منتشر شده است، محققان توضیح می دهند که چگونه بزرگترین نقطه قوت اندروید – عدم تمرکز در اکوسیستم آن – همچنین بزرگترین نقطه ضعف آن است.
همانطور که اوضاع اکنون پیش میرود، میگوید که فرآیند وصلهسازی بسیار کند، بیش از حد دست و پا گیر و بیش از حد تقسیم شده است و مصرفکنندگان را در معرض خطر آسیبپذیریهای شناختهشده و نسبتاً آسان برای بهرهبرداری قرار میدهد.
مشکلات تمرکززدایی
اندروید، در حالی که توسط گوگل ساخته شده است، مبتنی بر لینوکس است و اساسا یک راه حل منبع باز است، بنابراین سازندگان گوشی های هوشمند شخص ثالث مانند سامسونگ، اوپو، ال جی و وان پلاس می توانند مالکیت نسخه سیستم عامل خود را در اختیار بگیرند.
در نتیجه، وقتی گوگل یک پچ را منتشر میکند، ابتدا باید توسط سازنده آنالیز و اصلاح شود، قبل از اینکه به دستگاه فشار داده شود. این بدان معنی است که کاربران اندروید ممکن است برای مدت طولانی در معرض خطر قرار گرفتن توسط بدافزار باشند.
اگر این دوره برای مدت طولانی به پایان برسد و گوگل جزئیات آسیب پذیری را در اختیار عموم قرار دهد، این فرصتی منحصر به فرد به مجرمان سایبری می دهد تا نقاط پایانی را بدون نیاز به جستجوی روزهای صفر جدید به خطر بیاندازند.
در مقابل، اپل یک اکوسیستم بسته را برای دستگاه های خود ارائه می دهد. این شرکت مسئولیت ساخت بیشتر سخت افزار و نرم افزار خود را بر عهده دارد. بنابراین، با بهروزرسانیهایی که کاملاً تحت کنترل اپل هستند، هر زمان که این شرکت وصلهای را منتشر میکند، اکثر نقاط پایانی آن را نسبتاً سریع دریافت میکنند.
این دقیقاً همان چیزی است که در مورد CVE-2021-39793 رخ داد، یک آسیب پذیری در درایور پردازنده گرافیکی ARM Mali که توسط بسیاری از دستگاه های اندرویدی استفاده می شود. TechRadar Pro در نوامبر 2022 گزارش شد.
به محض اینکه گوگل تحقیقات خود را در مورد آن روز صفر در ژوئیه 2022 به پایان رساند، یافته ها را به ARM گزارش کرد که سپس آن را در آگوست 2022 اصلاح کرد. سی روز بعد، گوگل یافته های خود را عمومی کرد.
با این حال، گوگل دریافت که همه دستگاههای آزمایشی که از مالی استفاده میکردند در برابر این مشکلات آسیبپذیر باقی ماندند. در آن زمان گفت: «CVE-2022-36449 در هیچ یک از بولتن های امنیتی پایین دستی ذکر نشده است» و این موضوع را مطرح کرد که آن را «شکاف اصلاحی» می نامد.
در پست وبلاگ آمده است: «همانطور که به کاربران توصیه میشود پس از در دسترس قرار گرفتن نسخهای حاوی بهروزرسانیهای امنیتی، با حداکثر سرعتی که میتوانند وصله کنند، همین امر در مورد فروشندگان و شرکتها نیز صدق میکند.
“به حداقل رساندن “شکاف وصله” به عنوان فروشنده در این سناریوها مسلماً مهمتر است، زیرا کاربران نهایی (یا سایر فروشندگان پایین دست) قبل از اینکه بتوانند مزایای امنیتی وصله را دریافت کنند، این اقدام را مسدود می کنند.”
شرکتها باید هوشیار باشند، منابع بالادستی را از نزدیک دنبال کنند و تمام تلاش خود را برای ارائه وصلههای کامل به کاربران در اسرع وقت انجام دهند.»
آخرین دیدگاهها