کمی عجیب است اما واقعا امروز شاهد رفع یک باگ امنیتی در گوشی های سامسونگ هستیم. این باگ امنیتی به همراه ۱۹ باگ دیگر در نرم افزارهای سامسونگ و ۹ باگ اندروید در آپدیت اخیر سامسونگ برطرف شده است.
هفته گذشته سامسونگ شروع به انتشار پچ امنیتی ماه مه ۲۰۲۰ در تلفن های خود کرد. دیروز، این شرکت دقیقا توضیح داده است که به صورت مشخص با بروزرسانی امنیتی جدید چه چیزی را رفع کرده است. آخرین وصله امنیتی ۹ آسیب پذیری مهم کشف شده در اندروید و ۱۹ آسیب پذیری در نرم افزار سامسونگ را برطرف کرد. یکی از این 19 آسیب پذیری یک اشکال اساسی بود که تمام گوشی های Galaxy که از اواخر سال 2014 ارایه شده را گرفتار گرفت.
نقص امنیتی Zero-click بر روی نسخه سفارشی اندروید سامسونگ و نحوه دستیابی به قالب تصویر “Qmage” سفارشی (.qmg) که توسط شرکت کره ای Quramsoft ساخته شده است، وجود دارد. تمام تلفن های Galaxy سامسونگ از اواخر سال 2014 پشتیبانی از فایل های تصویری .qmg را آغاز کرده اند و در اجرای آن دارای آسیب پذیری های جدی بوده اند. طبق گزارش ها، از پرونده های Qmage در تمهای گرافیکی سامسونگ استفاده می شود.
آقای Mateusz Jurczyk یک محقق امنیتی که با تیم بررسی کننده پروژه Project Zero گوگل همکاری می کند، این آسیب پذیری را پیدا کرد. وی راهی برای بهره برداری از نحوه استفاده Skia (کتابخانه گرافیکی اندروید) در تلفن های سامسونگ به وسیله تصاویر Qmage ارسال شده به تلفن، را یافت. این اشکال را می توان در یک سناریو با zero-click مورد سوء استفاده قرار داد، به این معنی که نیازی به تعامل کاربر ندارد.
سیستم عامل به گونه ای طراحی شده است که تمام تصاویر دریافت شده توسط دستگاه را به سمت کتابخانه Skia هدایت می کند و سپس آنها را برای ایجاد تصاویر کوچک یا Thumbnail پردازش می کند. همه اینها بدون تعامل یا دانش کاربر اتفاق می افتد. محقق با تلاش برای حدس زدن موقعیت كتابخانه اسكیا در حافظه دستگاه، پیامهای MMS مكرر را به تلفنهای سامسونگ ارسال كرد.
دانستن محل اسکیا یک گام ضروری برای دور زدن محافظت از Android ASLR (آدرس تصادفی چیدمان فضا) Android است. پس از مشخص شدن مکان اسکای، آخرین MMS حاوی پرونده Qmage به تلفن ارسال می شود که سپس کد حمله کننده را بر روی دستگاه اجرا می کند.
ظاهرا برای سوء استفاده از این آسیب پذیری بین 50 تا 300 پیام لازم است و در طی دو ساعت و بدون هشدار به کاربر می توان این کار را انجام داد. سایر برنامه های روی تلفن که می توانند تصاویر Qmage را دریافت کنند، نیز می توانند برای سوء استفاده از آسیب پذیری مهم استفاده شوند. با این حال، سامسونگ سرانجام در هفته گذشته اشکال (SVE-2020-16747) را با وصله امنیتی ماه مه 2020 برطرف کرد.
همه کاربران گوشی های گلکسی باید به محض دریافت، به روزرسانی امنیتی مه 2020 را نصب کنند تا از آن محافظت شود. وصله امنیتی مه 2020 قبلاً در سری Galaxy S20 ، Galaxy Z Flip ، Galaxy Fold ، Galaxy Note 10 ، Galaxy S10 و Galaxy A50 منتشر شده است.
نظر شما درباره این مشکل امنیتی پیش آمده برای گوشی های سامسونگ چیست؟
خداروشوووووووکر
الان این شد حریم خصوصی؟ فینچ با تو ام ها یه باگ تو گوشی که هکر میتونه کل اطلاعاتت رو بدزده بهتره یا اینکه داده های مرورگرت به صورت ناشناس واسه بهبود مرورگرت یه جا جمع بشن
مورد اول بهتره ( از نظر من)
چرا؟
جواب :. اون هکر حداکثر میزنه حساب بانکیت هک میکنه
لی جون بیگ دیتا رو جمع آوری میکنه
فرضا
هکر تو خیابون حکم جیببر داره
لی جون حکم کسی که ۲۴ ساعتی دنبالت هست و ازت فیلم و عکس و ویس میگیره
اما هکر قطعا اطلاعاتت رو به یه خلافکار لو میده و لی جون در بدترین حالت اطلاعاتت رو میفروشه به ایران… حالا کدومش بدتره؟ (که در مورد دوم حتی در این حد هم نیست و فقط دست لی جون و دوستانش میمونه)
دوست عزیز بحث کردن با این ترول ریقو فایده نداره
یادتونه تصاویر گالری در گوشی های سامسونگ برای مخاطبین ارسال میشد؟ =))
حریم خصوصی یعنی این
واقعا تو دنیای 0 و 1 امنیت بی معنی هست
عجب باگ وجود داشته
سامسونگ نمیدونسته خدایی یا اینکه
خودش رو داره میزنه به نفهم بودن که بعد از مدت زمان طولانی میاد آپدیت میده
تکلیف گوشی های 2014 تا 2019 چیه
اونا رو چ گلی به سر صاحباش میخواد بزنه