جزئیات بیشتر از کلیدهای امضای لو رفته میلیون ها گوشی اندرویدی

به گزارش گروه دانش و فناوری اقتصاد ۱۰۰ و به نقل از سخت افزارمگ،Baked into Android سیستمی است که به برنامه‌های امضا شده با همان کلیدی که برای احراز هویت خود سیستم عامل استفاده می‌شود، اعتماد می‌کند، و مشکل امنیتی دقیقا در همین نکته است. یک فرد سوءاستفاده‌گر با کنترل این کلیدها می‌تواند مجموعه‌ای از بدافزارها با نشان «اعتماد» اندروید در سطح سیستم داشته باشد. درست مثل این می‌ماند که خودتان با تاییدهای لازم کلید خانه و ماشین خود را به دزد بدهید. همه داده‌ها در دستگاه‌های آسیب‌پذیر ممکن است در معرض خطر باشند. و برخی از این کلیدها برای امضای برنامه‌های معمولی نصب‌شده از Play Store یا بارگذاری‌شده از سایر فروشگاه‌های برنامه‌های Android استفاده می‌شوند.

در توییت Mishaal Rahman گفته شده که کلیدهای اندرویدی امضای لو رفته را نمی‌توان برای نصب به‌روزرسانی‌هایی که در معرض خطر هستند استفاده کرد. و او اضافه می‌کند که سیستم Play Store Protect می‌تواند برنامه‌هایی را که با کلیدهای لو رفته امضا شده‌اند به‌عنوان گزینه بالقوه مضر علامت‌گذاری کند.

در حالی که هنوز همه منابع کلیدهای فاش شده شناسایی نشده‌اند، شرکت‌هایی که نام برده شده‌اند عبارتند از:

• Samsung
• LG
• Mediatek
• Szroco (شرکت تولید کننده تبلت‌های Walmart’s Onn)
• Revoview

گوگل می‌گوید که این آسیب پذیری در ماه می (اردیبهشت) سال جاری به آنها گزارش شده است و شرکت‌های درگیر “اقدامات اصلاحی را برای به حداقل رساندن تاثیر کاربر انجام داده‌اند. یکی از سخنگویان Google گفت:

“شرکای OEM بلافاصله اقدامات کاهشی را به محض اینکه گزارش سازش کلیدی را گزارش دادیم، اجرا کردند. کاربران نهایی با اقدامات کاهشی که توسط شرکای OEM اجرا می‌شود محافظت می شوند. Google تشخیص های گسترده‌ای را برای بدافزار در Build Test Suite اجرا کرده است که تصاویر سیستم را اسکن می‌کند. Google Play Protect نیز بدافزار را شناسایی می‌کند. هیچ نشانه‌ای از اینکه این بدافزار در فروشگاه Google Play وجود دارد یا پیش از این وجود داشته مشاهده نشده. مانند همیشه، به کاربران توصیه می‌کنیم مطمئن شوند که آخرین نسخه اندروید را اجرا می‌کنند.

گوگل به شرکت‌های درگیر توصیه کرده کلیدهای امضایی را که در حال حاضر مورد استفاده قرار می‌گیرند، تعویض کنند و از استفاده از کلیدهایی که درز کرده‌اند خودداری کنند. همچنین پیشنهاد می‌کند که هر شرکت تحقیقاتی را برای درک چگونگی افشای کلیدها آغاز کند. امیدواریم این امر از تکرار چنین اتفاقی در آینده جلوگیری کند. گوگل همچنین توصیه می‌کند که شرکت‌ها از singing keys برای حداقل تعداد برنامه‌ها استفاده کنند تا تعداد نشت‌های احتمالی در آینده را کاهش دهند.

اول مطمئن شوید که گوشی شما آخرین نسخه اندروید را اجرا می‌کند و به محض رسیدن همه به روز رسانی‌های امنیتی، آنها را نصب کنید. مطمئنا خیلی از این به روز‌رسانی‌ها ویژگی‌های جدید هیجان انگیزی را به همراه نخواهند داشت زیرا وظیفه آنها تنها این است که مطمئن شوند دستگاه شما به خطر نمی‌افتد. همچنین کاربران اندروید باید از دانلود و نصب برنامه‌ها از منبع‌های جانبی و تایید نشده خودداری کنند، یعنی دقیقا همان زمانی که برنامه‌ای را نصب می‌کنید که منبع آن از یک فروشگاه برنامه شخص ثالث است.

نکته ترسناک این است که ظاهراً این آسیب پذیری از سال‌ها پیش وجود داشته است. سامسونگ حتی در بیانیه‌ای که به پلیس اندروید ارائه کرده است، این موضوع را مطرح می‌کند و می‌گوید: “سامسونگ امنیت دستگاه‌های گلکسی را جدی می‌گیرد. ما از سال 2016 وصله‌های امنیتی را پس از اطلاع از این موضوع منتشر کرده‌ایم و هیچ حادثه امنیتی شناخته شده‌ای در این رابطه وجود نداشته است. ما همیشه به کاربران توصیه می‌کنیم که دستگاه های خود را با آخرین به روز رسانی‌های نرم افزار به روز نگه دارند.”