حساب کاربری ندارید؟ ثبت نام کنید

رفع یک باگ امنیتی در گوشی های سامسونگ پس از ۶ سال

نوشته

4 سال قبل | 9 دیدگاه | آپدیت، سامسونگ

کمی عجیب است اما واقعا امروز شاهد رفع یک باگ امنیتی در گوشی های سامسونگ هستیم. این باگ امنیتی به همراه ۱۹ باگ دیگر در نرم افزارهای سامسونگ و ۹ باگ اندروید در آپدیت اخیر سامسونگ برطرف شده است.

رفع یک باگ امنیتی در گوشی های سامسونگ

هفته گذشته سامسونگ شروع به انتشار پچ امنیتی ماه مه ۲۰۲۰ در تلفن های خود کرد. دیروز، این شرکت دقیقا توضیح داده است که به صورت مشخص با بروزرسانی امنیتی جدید چه چیزی را رفع کرده است. آخرین وصله امنیتی ۹ آسیب پذیری مهم کشف شده در اندروید و ۱۹ آسیب پذیری در نرم افزار سامسونگ را برطرف کرد. یکی از این 19 آسیب پذیری یک اشکال اساسی بود که تمام گوشی های Galaxy که از اواخر سال 2014 ارایه شده را گرفتار گرفت.

نقص امنیتی Zero-click بر روی نسخه سفارشی اندروید سامسونگ و نحوه دستیابی به قالب تصویر “Qmage” سفارشی (.qmg) که توسط شرکت کره ای Quramsoft ساخته شده است، وجود دارد. تمام تلفن های Galaxy سامسونگ از اواخر سال 2014 پشتیبانی از فایل های تصویری .qmg را آغاز کرده اند و در اجرای آن دارای آسیب پذیری های جدی بوده اند. طبق گزارش ها، از پرونده های Qmage در تم‌های گرافیکی سامسونگ استفاده می شود.

آقای Mateusz Jurczyk یک محقق امنیتی که با تیم بررسی کننده پروژه Project Zero گوگل همکاری می کند، این آسیب پذیری را پیدا کرد. وی راهی برای بهره برداری از نحوه استفاده Skia (کتابخانه گرافیکی اندروید) در تلفن های سامسونگ به وسیله تصاویر Qmage ارسال شده به تلفن، را یافت. این اشکال را می توان در یک سناریو با zero-click مورد سوء استفاده قرار داد، به این معنی که نیازی به تعامل کاربر ندارد.

سیستم عامل به گونه ای طراحی شده است که تمام تصاویر دریافت شده توسط دستگاه را به سمت کتابخانه Skia هدایت می کند و سپس آنها را برای ایجاد تصاویر کوچک یا Thumbnail پردازش می کند. همه اینها بدون تعامل یا دانش کاربر اتفاق می افتد. محقق با تلاش برای حدس زدن موقعیت كتابخانه اسكیا در حافظه دستگاه، پیامهای MMS مكرر را به تلفنهای سامسونگ ارسال كرد.

پردازنده ۶ نانومتری EUV سامسونگ

دانستن محل اسکیا یک گام ضروری برای دور زدن محافظت از Android ASLR (آدرس تصادفی چیدمان فضا) Android است. پس از مشخص شدن مکان اسکای، آخرین MMS حاوی پرونده Qmage به تلفن ارسال می شود که سپس کد حمله کننده را بر روی دستگاه اجرا می کند.

ظاهرا برای سوء استفاده از این آسیب پذیری بین 50 تا 300 پیام لازم است و در طی دو ساعت و بدون هشدار به کاربر می توان این کار را انجام داد. سایر برنامه های روی تلفن که می توانند تصاویر Qmage را دریافت کنند، نیز می توانند برای سوء استفاده از آسیب پذیری مهم استفاده شوند. با این حال، سامسونگ سرانجام در هفته گذشته اشکال (SVE-2020-16747) را با وصله امنیتی ماه مه 2020 برطرف کرد.

همه کاربران گوشی های گلکسی باید به محض دریافت، به روزرسانی امنیتی مه 2020 را نصب کنند تا از آن محافظت شود. وصله امنیتی مه 2020 قبلاً در سری Galaxy S20 ، Galaxy Z Flip ، Galaxy Fold ، Galaxy Note 10 ، Galaxy S10 و Galaxy A50 منتشر شده است.

نظر شما درباره این مشکل امنیتی پیش آمده برای گوشی های سامسونگ چیست؟

اشتراک در
اطلاع از
9 Comments
قدیمی‌ترین
تازه‌ترین بیشترین رأی
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
Finch

خداروشوووووووکر

Mahdi

الان این شد حریم خصوصی؟ فینچ با تو ام ها یه باگ تو گوشی که هکر میتونه کل اطلاعاتت رو بدزده بهتره یا اینکه داده های مرورگرت به صورت ناشناس واسه بهبود مرورگرت یه جا جمع بشن

Finch

مورد اول بهتره ( از نظر من)
چرا؟
جواب :. اون هکر حداکثر میزنه حساب بانکیت هک میکنه
لی جون بیگ‌ دیتا رو جمع آوری می‌کنه
فرضا
هکر‌ تو خیابون حکم جیب‌بر داره
لی جون حکم کسی که ۲۴ ساعتی دنبالت هست و ازت فیلم و عکس و ویس میگیره

The Destroyer

اما هکر قطعا اطلاعاتت رو به یه خلافکار لو میده و لی جون در بدترین حالت اطلاعاتت رو میفروشه به ایران… حالا کدومش بدتره؟ (که در مورد دوم حتی در این حد هم نیست و فقط دست لی جون و دوستانش میمونه)

Atta_h

دوست عزیز بحث کردن با این ترول ریقو فایده نداره

Milad7

یادتونه تصاویر گالری در گوشی های سامسونگ برای مخاطبین ارسال میشد؟ =))

Mahdi

حریم خصوصی یعنی این

Milad7

واقعا تو دنیای 0 و 1 امنیت بی معنی هست

Alireza1995

عجب باگ وجود داشته

سامسونگ نمیدونسته خدایی یا اینکه
خودش رو داره میزنه به نفهم بودن که بعد از مدت زمان طولانی میاد آپدیت میده

تکلیف گوشی های 2014 تا 2019 چیه
اونا رو چ گلی به سر صاحباش میخواد بزنه

رپورتاژ آگهی پربازده
رپورتاژ آگهی پربازده
سینا عطایی
حال روزگارت به خودت بستگی داره :)