نظام Android يحتوي على فجوة تصحيح مخفية

مختبرات البحوث الأمنية

نظام Android يحتوي على فجوة تصحيح مخفية

نتائج اختبار تصحيح نظام Android الأنظف,ترسم صورة أكثر وضوحًا وإشراقًا.

منذ ان تم تقديم هذا البحث للمرة الاولى في مؤتمر HITB في 13 أبريل 2018، تجري مناقشات حادة وبناءة للغاية مع الأطراف عبر النظام البيئي لنظام Android. لم تساعد هذه المحادثات البنّاءة البائعين على اكتشاف عمليات المراقبة السابقة وتحسين عمليات الترقيع فحسب ، بل ساعدت أيضًا على اكتشاف أوجه الاختلال والقصور  في افتراضات وتحليلات الشركة. فتعليقات المستعملين ساهمت بدور فعال في تحسين تحليل تصحيح نظام Android على مستوى  ثلاثة مجالات أساسية:



1) التفريق يبني المجتمع من يبني الرسمية:

تحتوي العديد من البرامج المجتمعية الثابتة على ثغرات ونقائص تصحيح أكبر بكثير من الثغرات الرسمية للبائعين (وبعضها يعمل بشكل أفضل من البائعين) ، متخطيًا متوسطات التصحيح. فالشركة بدأت تميز بين بينات المجتمع وتقوم بعرضها بشكل منفصل في الإحصائيات.


كما انه تمت إزالة الاختبارات غير الموثوقة من مجموعة الاختبار. وقامت بكتابة بعض اختبارات التصحيح السابقة لدى الشركة بناءًا على افتراضات ساذجة، مفادها أن البائعين سيطبقون تصحيحات أمان دون تعديلات.


في غالب الأحيان يقوم البائعون بتغيير التصحيحات، وذلك لأسباب محددة، في كثير من الأحيان تمت إزالة الاختبارات التي أدت إلى نتائج "التصحيح غير موجودة" للبقع المعدلة من مجموعة الاختبار النشطة.


تم تصحيح تاريخ التصحيح المطبق وإصدارات Android ذات الصلة. في حين أنه من الواضح ان إصدارات Android وتاريخ مستوى التصحيح الذي ينطبق عليه تصحيح الأمان المحدد، إلا أنه كانت هناك حالات أخطأ فيها. (عذرًا ، Samsung!) لقد بذلنا قصارى جهدنا لتصحيح جميع هذه الأخطاء والتأكد من أن جميع الاختبارات يتم وضع علامة عليها في إصدارات Android الصحيحة وتاريخ مستوى التصحيح.


نأسف لأن الأخطاء الناتجة عن هذه العيوب دفعتنا في البداية إلى الإبلاغ عن وجود فجوة في نظام أندرويد أكبر مما هي عليه بالفعل. تبين أن هذا الخطأ غير عادل بشكل خاص للبائعين الذين سجلهم الفعلي جيد للغاية. كان للإيجابيات الخاطئة القليلة ، والتي ينطبق بعضها فقط على بائعين محددين ، تأثير سلبي غير متناسب على متوسطهم الخرافي.


في الوقت نفسه ، تشرف شركة Android أن أدواتنا تساعد الفرق في جميع أنحاء العالم على اكتشاف ومعالجة عمليات المراقبة في عمليات الترقيع الخاصة بهم ، بشكل ملموس. نشكر البائعين على مناقشتنا البناءة ونشكرك على المجتمع لاستخدام SnoopSnitch لاكتشاف فجوات التصحيح.



2) يحتوي نظام Android على فجوة تصحيح مخفية:

يعد نظام أندرويد Android أكثر أنظمة التشغيل نجاحًا حتى الآن ، حيث يستخدم ملياري جهاز نشطًا. مع النجاح يأتي المسؤولية ، في هذه الحالة لأمن وخصوصية مستخدمي المحمول في جميع أنحاء العالم. أحد الركائز المركزية للحفاظ على هذه الأجهزة آمنة هو توفير تصحيحات منتظمة.


واجهت شركة Android صعوبات في الترقيع في الماضي ، حيث كان 17٪ فقط من الأجهزة تعمل على مستوى رقعة حديث في عام 2016 . منذ ذلك الحين ، قام العديد من بائعي الأجهزة بتحسين تردد الترقيع: تتلقى الهواتف الآن تحديثات أمنية شهرية.


يعد تثبيت التصحيحات كل شهر خطوة أولى مهمة ، ولكنه لا يزال غير كافٍ ما لم يتم تضمين جميع التصحيحات ذات الصلة في هذه التحديثات. توصلت دراستنا الواسعة لهواتف Android إلى أن بعض بائعي Android يفتقدون بانتظام إلى تصحيحات ، مما يترك أجزاء من النظام البيئي عرضة للمخاطر الأساسية.



3) يختلف بائعوا Android في اتمام التصحيح:





ملاحظات

- يوضح الجدول متوسط ​​عدد بقع الخطورة والعالية المفقودة قبل تاريخ التصحيح المطالب به


* عينات - قليل: 5-9 ؛ كثير: 10-49 ؛ الكثير: 50+


- يتم تضمين بعض الهواتف عدة مرات مع إصدارات البرامج الثابتة المختلفة


- ليست جميع اختبارات التصحيح دائمًا قاطعة ، لذلك يمكن أن يكون العدد الحقيقي للبقع المفقودة أعلى


- لا يتم تضمين جميع التصحيحات في اختباراتنا ، لذلك يمكن أن يكون الرقم الحقيقي أعلى


- تعتبر الهواتف التي تم تصحيحها فقط من يناير 2018 أو في وقت لاحق


- التصحيح المفقود لا يشير تلقائيًا إلى أنه يمكن استغلال الثغرة الأمنية ذات الصلة


[البيانات الحالية اعتبارًا من 6 يونيو 2018. تحقق مرة أخرى هنا للحصول على التحديثات المستقبلية.]



4) استغلال الروبوتات لا يزال من صعبا:

تتضمن أنظمة التشغيل الحديثة العديد من الحواجز الأمنية ، على سبيل المثال ASLR و sandboxing ، وكلها تحتاج عادة إلى اختراقها لاختراق الهاتف عن بعد. نظرًا لهذا التعقيد ، عادةً ما لا يكفي عدد قليل من التصحيحات المفقودة حتى يتمكن المتسلل من اختراق جهاز Android عن بُعد. بدلاً من ذلك ، يجب ربط العديد من الأخطاء معًا لاختراق ناجح.


يبدو أن النظام البيئي الإجرامي يفهم التحديات التي تواجه اختراق هواتف Android. بدلاً من استغلال الثغرات الأمنية المعروفة للبرامج ، يركز المجرمون على مستخدمي الهندسة الاجتماعية لتثبيت تطبيقات ضارة ، غالبًا من مصادر غير آمنة ، ثم يمنحون أذونات زائدة لهذه التطبيقات. في الواقع ، بالكاد لوحظ أي نشاط قرصنة إجرامي حول Android في 2017.


أن يترك المتسللين التي ترعاها الدولة وغيرها من المتسللين ، الذين يعملون عادة خلسة. عادة ما يلجأ هؤلاء المتسللين الممولين تمويلًا جيدًا إلى نقاط الضعف في "صفر يوم" ولكن قد يعتمدون أيضًا على الأخطاء المعروفة لتطوير سلاسل استغلال فعالة. تصحيح الأخطاء المعروفة وبالتالي يزيد من الجهد لهؤلاء المتسللين مصممة للغاية.

5) كن على علم بمستوى تصحيح Android:

نظرًا لزيادة شعبية Android ، لن تستمر حوافز القرصنة في النمو ، وكذلك مسؤولية النظام البيئي في الحفاظ على أمان مستخدميه. لا توجد طبقة دفاع واحدة يمكنها تحمل حوافز القرصنة الكبيرة لفترة طويلة جدًا ، مما يحفز نهج "الدفاع المتعمق" مع طبقات أمان متعددة. تعد عملية الترقيع مهمة جدًا لدعم فعالية طبقات الأمان المختلفة الموجودة بالفعل على نظام Android.


الآن وقد أصبحت التصحيحات الشهرية أساسًا ثابتًا للعديد من الهواتف ، فقد حان الوقت لطلب كل تحديث شهري لتغطية جميع التصحيحات ذات الصلة. وقد حان الوقت للبدء في التحقق من مطالبات البائع بشأن أمان أجهزتنا. يمكنك قياس مستوى التصحيح لهاتف Android الخاص بك باستخدام التطبيق المجاني SnoopSnitch .





المراجع


تم تقديم تفاصيل هذا البحث في مؤتمر HITB في 13 أبريل 2018 ، في أمستردام وفي AsiaSecWest في 6 يونيو 2018 في هونغ كونغ. الشرائح .