info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آسیب‌پذیری در ۲۵ تلفن همراه هوشمند اندرویدی

خلاصه: محققان امنیتی پرده از ۴۷ آسیب‌پذیری در سیستم عامل و برنامه‌های پیش‌فرض ۲۵ مدل گوشی‌های هوشمند اندرویدی برداشته‌اند. این آسیب‌پذیری‌ها مجموعه‌ای از معایب ساده‌ تا اشکالاتی خطرناک در دستگاه‌ها را شامل می‌شود و دسترسی‌های اساسی روی تلفن همراه کاربر اختیار هکرها می‌گذارد. برخی از خطرناک‌ترین این آسیب‌پذیری‌ها به مهاجم اجازه بازیابی و ارسال پیامک از موبایل کاربر، نمایش تصاویر یا ضبط ویدیو صفحه نمایش، بازیابی لیست مخاطبین کاربر، دسترسی ونصب برنامه‌های دلخواه و یا حتی حذف اطلاعات کاربر است.

 

در هفته گذشته، در کنفرانس امنیتی DEFCON در لاس وگاس امریکا، محققان امنیتی اطلاعات بیشتری درباره ۴۷ آسیب‌پذیری در سیستم عامل و برنامه‌های پیش فرض ۲۵ مدل گوشی هوشمند اندرویدی ارائه دادند.

این آسیب‌پذیری‌ها مجموعه‌ای از معایب ساده گرفته تا اشکالات خطرناکی که دسترسی‌های سطح بالایی به هکرها برای نفوذ به تلفن همراه کاربر را شامل می‌شود.

برخی از خطرناک‌ترین این آسیب‌پذیری‌ها به مهاجم اجازه بازیابی و ارسال پیامک از موبایل کاربر، نمایش تصاویر یا ضبط ویدیو صفحه نمایش، بازیابی لیست مخاطبین کاربر، دسترسی ونصب برنامه‌های دلخواه و یا حتی حذف اطلاعات کاربر است.

نام برخی از شرکت های تولیدکننده ی تجهیزات اصلی (OEM) در این لیست

این آسیب‌پذیری‌ها هم در برنامه‌هایی که به صورت پیش فرض بر روی دستگاه نصب شده اند، و گاهی اوقات غیر‌قابل حذف می باشند، کشف شده‌اند و هم در درایو‌های سیستم عامل دستگاه که حذف آن‌ها امکان‌پذیر نیست.

شرکت امنیتی تلفن همراه و اینترنت اشیای امریکایی Kryptowire به عنوان بخشی از کمک مالی اختصاص یافته توسط وزارت امنیت داخلی امریکا (DHS) این آسیب‌پذیری ها را کشف نموده است.

در لیست Kryptowire نام  برند‌های بزرگ گوشی‌های هوشمند همچون سونی، ZTE، نوکیا، ال‌جی، ایسوس، آلکاتل و هم‌چنین برندهایی چون ویو، اسکای، پلام، اربیک، اپو، MXQ، لیگو، اسنشال، دوگی و کولپد دیده می شود.

مدیر عامل شرکت Kryptowire عنوان کرد: با وجود صدها مدل تلفن همراه و مدل‌های موجود در بازار و هزاران نسخه از سیستم عامل، به سادگی نمی‌توان صرفا کتابچه راهنمای کاربر را مقیاسی برای حل مشکل شناسایی آسیب‌پذیری در گوشی‌های تلفن همراه دانست. وی همچنین در یک نشست خیری اعلام کرد که به زودی Kryptowire یک پلت‌فرم جدید برای آزمایش خودکار سیستم عامل و برنامه‌های دستگاه‌های تلفن همراه آندروید منتشر خواهد کرد.
در نوامبر سال ۲۰۱۶، Kryptowire همچنین یک درب پشتی را در سیستم نرم افزاری به‌روزرسانی FOTA یا به‌روز‌رسانی سیستم‌عامل به صورت بی‌سیم کشف نمود که توسط یک شرکت چینی با نام Adpus طراحی شده است. این امکان در سیستم‌عامل بسیاری از سازندگان گوشی اندروید گنجانده شده است و یک سال بعد نیز با وجود افشای عمومی، همچنان فعال است.

 

    

تحت نظارت وف ایرانی