تیم امنیتی گوگل می گوید که شرکت ها باید در وصله اندروید بهتر شوند

گوگل هشدار می دهد که سازندگان گوشی های هوشمند اندرویدی باید در وصله دستگاه های خود بهتر عمل کنند.

در یک پست وبلاگ () که توسط بازوی امنیت سایبری گوگل، Project Zero منتشر شده است، محققان توضیح می دهند که چگونه بزرگترین نقطه قوت اندروید – عدم تمرکز در اکوسیستم آن – همچنین بزرگترین نقطه ضعف آن است.

همانطور که اوضاع اکنون پیش می‌رود، می‌گوید که فرآیند وصله‌سازی بسیار کند، بیش از حد دست و پا گیر و بیش از حد تقسیم شده است و مصرف‌کنندگان را در معرض خطر آسیب‌پذیری‌های شناخته‌شده و نسبتاً آسان برای بهره‌برداری قرار می‌دهد.

مشکلات تمرکززدایی

اندروید، در حالی که توسط گوگل ساخته شده است، مبتنی بر لینوکس است و اساسا یک راه حل منبع باز است، بنابراین سازندگان گوشی های هوشمند شخص ثالث مانند سامسونگ، اوپو، ال جی و وان پلاس می توانند مالکیت نسخه سیستم عامل خود را در اختیار بگیرند.

در نتیجه، وقتی گوگل یک پچ را منتشر می‌کند، ابتدا باید توسط سازنده آنالیز و اصلاح شود، قبل از اینکه به دستگاه فشار داده شود. این بدان معنی است که کاربران اندروید ممکن است برای مدت طولانی در معرض خطر قرار گرفتن توسط بدافزار باشند.

اگر این دوره برای مدت طولانی به پایان برسد و گوگل جزئیات آسیب پذیری را در اختیار عموم قرار دهد، این فرصتی منحصر به فرد به مجرمان سایبری می دهد تا نقاط پایانی را بدون نیاز به جستجوی روزهای صفر جدید به خطر بیاندازند.

در مقابل، اپل یک اکوسیستم بسته را برای دستگاه های خود ارائه می دهد. این شرکت مسئولیت ساخت بیشتر سخت افزار و نرم افزار خود را بر عهده دارد. بنابراین، با به‌روزرسانی‌هایی که کاملاً تحت کنترل اپل هستند، هر زمان که این شرکت وصله‌ای را منتشر می‌کند، اکثر نقاط پایانی آن را نسبتاً سریع دریافت می‌کنند.

این دقیقاً همان چیزی است که در مورد CVE-2021-39793 رخ داد، یک آسیب پذیری در درایور پردازنده گرافیکی ARM Mali که توسط بسیاری از دستگاه های اندرویدی استفاده می شود. TechRadar Pro در نوامبر 2022 گزارش شد.

به محض اینکه گوگل تحقیقات خود را در مورد آن روز صفر در ژوئیه 2022 به پایان رساند، یافته ها را به ARM گزارش کرد که سپس آن را در آگوست 2022 اصلاح کرد. سی روز بعد، گوگل یافته های خود را عمومی کرد.

با این حال، گوگل دریافت که همه دستگاه‌های آزمایشی که از مالی استفاده می‌کردند در برابر این مشکلات آسیب‌پذیر باقی ماندند. در آن زمان گفت: «CVE-2022-36449 در هیچ یک از بولتن های امنیتی پایین دستی ذکر نشده است» و این موضوع را مطرح کرد که آن را «شکاف اصلاحی» می نامد.

در پست وبلاگ آمده است: «همانطور که به کاربران توصیه می‌شود پس از در دسترس قرار گرفتن نسخه‌ای حاوی به‌روزرسانی‌های امنیتی، با حداکثر سرعتی که می‌توانند وصله کنند، همین امر در مورد فروشندگان و شرکت‌ها نیز صدق می‌کند.

“به حداقل رساندن “شکاف وصله” به عنوان فروشنده در این سناریوها مسلماً مهمتر است، زیرا کاربران نهایی (یا سایر فروشندگان پایین دست) قبل از اینکه بتوانند مزایای امنیتی وصله را دریافت کنند، این اقدام را مسدود می کنند.”

شرکت‌ها باید هوشیار باشند، منابع بالادستی را از نزدیک دنبال کنند و تمام تلاش خود را برای ارائه وصله‌های کامل به کاربران در اسرع وقت انجام دهند.»