گوگل می‌گوید شواهدی در دست دارد که نشان می‌دهد یک فروشنده نظارت تجاری از سه آسیب‌پذیری امنیتی روز صفر که در گوشی‌های هوشمند جدیدتر سامسونگ یافت شده است، بهره‌برداری می‌کند. این آسیب‌پذیری‌ها که در نرم‌افزار سفارشی سامسونگ کشف شده‌اند، با هم به عنوان بخشی از یک زنجیره سوءاستفاده برای هدف قرار دادن گوشی‌های سامسونگ با اندروید مورد استفاده قرار گرفتند. آسیب‌پذیری‌های زنجیره‌ای به مهاجم اجازه می‌دهد تا به عنوان کاربر اصلی امتیاز خواندن و نوشتن هسته را به دست آورد و در نهایت داده‌های دستگاه را افشا کند. مدی استون، محقق امنیتی Google Project Zero در یک پست وبلاگی گفت که زنجیره بهره برداری گوشی های سامسونگ را با تراشه اگزینوس که دارای نسخه هسته خاصی هستند هدف قرار می دهد. گوشی‌های سامسونگ با تراشه‌های اگزینوس عمدتاً در سراسر اروپا، خاورمیانه و آفریقا فروخته می‌شوند، جایی که احتمالاً هدف‌های نظارتی در آن قرار دارند. استون گفت گوشی های سامسونگ که در آن زمان هسته آسیب دیده را اجرا می کردند شامل S10، A50 و A51 هستند. این نقص‌ها، از زمانی که وصله شدند، توسط یک برنامه مخرب اندروید مورد سوء استفاده قرار گرفتند، که ممکن است کاربر فریب خورده باشد تا آن را از خارج از فروشگاه برنامه نصب کند. این برنامه مخرب به مهاجم اجازه می دهد تا از جعبه ایمنی برنامه که برای مهار فعالیت آن طراحی شده است فرار کند و به بقیه سیستم عامل دستگاه دسترسی پیدا کند. استون گفت، تنها بخشی از برنامه بهره‌برداری به دست آمده است، بنابراین مشخص نیست که بار نهایی چه بوده است، حتی اگر سه آسیب‌پذیری راه را برای تحویل نهایی آن هموار کنند. استون نوشت: «اولین آسیب‌پذیری در این زنجیره، فایل دلخواه خواندن و نوشتن، پایه و اساس این زنجیره بود که در چهار زمان مختلف استفاده شد و حداقل یک بار در هر مرحله استفاده شد. استون گفت: «مولفه‌های جاوا در دستگاه‌های اندرویدی با وجود اینکه در چنین سطح ممتازی اجرا می‌شوند، محبوب‌ترین اهداف برای محققان امنیتی نیستند. گوگل از ذکر نام فروشنده نظارت تجاری خودداری کرد، اما گفت که این بهره برداری از الگویی مشابه با آلودگی های اخیر دستگاه پیروی می کند که در آن از برنامه های مخرب اندروید برای ارائه نرم افزارهای جاسوسی قدرتمند دولت-ملت سوء استفاده می شود. در اوایل سال جاری، محققان امنیتی هرمیت، یک نرم افزار جاسوسی اندروید و iOS را کشف کردند که توسط آزمایشگاه RCS توسعه یافته و در حملات هدفمند دولت ها با قربانیان شناخته شده در ایتالیا و قزاقستان استفاده می شود. هرمیت به فریب دادن یک هدف برای دانلود و نصب برنامه مخرب، مانند یک برنامه کمکی مخفی حامل سلولی، از خارج از فروشگاه برنامه تکیه می کند، اما سپس بی سر و صدا مخاطبین، ضبط های صوتی، عکس ها، فیلم ها و داده های دقیق موقعیت مکانی قربانی را می دزدد. گوگل شروع به اطلاع رسانی به کاربران اندرویدی کرد که دستگاه هایشان توسط Hermit در معرض خطر قرار گرفته است. فروشنده نظارتی Connexxa همچنین از برنامه های جانبی مخرب برای هدف قرار دادن دارندگان اندروید و آیفون استفاده می کند. گوگل این سه آسیب‌پذیری را در اواخر سال 2020 به سامسونگ گزارش کرد و سامسونگ در مارس 2021 وصله‌هایی را برای گوشی‌های آسیب‌دیده منتشر کرد، اما در آن زمان فاش نکرد که این آسیب‌پذیری‌ها به طور فعال مورد سوء استفاده قرار گرفته‌اند. استون گفت که سامسونگ از آن زمان متعهد شده است که پس از اپل و گوگل که آسیب‌پذیری‌ها مورد حمله قرار می‌گیرند در به‌روزرسانی‌های امنیتی خود افشاگری را در زمانی که آسیب‌پذیری‌ها به طور فعال مورد سوء استفاده قرار می‌گیرند، آغاز کند. استون با بیان اینکه تحقیقات بیشتر می تواند آسیب پذیری های جدیدی را در نرم افزارهای سفارشی ساخته شده توسط سازندگان دستگاه های اندرویدی مانند سامسونگ کشف کند، اضافه کرد: «تحلیل این زنجیره بهره برداری، بینش های جدید و مهمی را در مورد نحوه هدف قرار دادن مهاجمان دستگاه های اندرویدی به ما ارائه کرده است. "این نیاز به تحقیقات بیشتر در مورد اجزای خاص سازنده را برجسته می کند. استون گفت: این نشان می دهد که کجا باید تجزیه و تحلیل بیشتر انجام دهیم.

گوگل می گوید فروشنده نظارتی گوشی های سامسونگ را با روز صفر هدف قرار داده است

آبان 21, 1401 1۰14

به گزارش اپ خونه، گوگل می‌گوید شواهدی در دست دارد که نشان می‌دهد یک فروشنده نظارت تجاری از سه آسیب‌پذیری امنیتی روز صفر که در گوشی‌های هوشمند جدیدتر سامسونگ یافت شده است، بهره‌برداری می‌کند.

این آسیب‌پذیری‌ها که در نرم‌افزار سفارشی سامسونگ کشف شده‌اند، با هم به عنوان بخشی از یک زنجیره سوءاستفاده برای هدف قرار دادن گوشی‌های سامسونگ با اندروید مورد استفاده قرار گرفتند. آسیب‌پذیری‌های زنجیره‌ای به مهاجم اجازه می‌دهد تا به عنوان کاربر اصلی امتیاز خواندن و نوشتن هسته را به دست آورد و در نهایت داده‌های دستگاه را افشا کند.

مدی استون، محقق امنیتی Google Project Zero در یک پست وبلاگی گفت که زنجیره بهره برداری گوشی های سامسونگ را با تراشه اگزینوس که دارای نسخه هسته خاصی هستند هدف قرار می دهد. گوشی‌های سامسونگ با تراشه‌های اگزینوس عمدتاً در سراسر اروپا، خاورمیانه و آفریقا فروخته می‌شوند، جایی که احتمالاً هدف‌های نظارتی در آن قرار دارند.

استون گفت گوشی های سامسونگ که در آن زمان هسته آسیب دیده را اجرا می کردند شامل S10، A50 و A51 هستند.

این نقص‌ها، از زمانی که وصله شدند، توسط یک برنامه مخرب اندروید مورد سوء استفاده قرار گرفتند، که ممکن است کاربر فریب خورده باشد تا آن را از خارج از فروشگاه برنامه نصب کند. این برنامه مخرب به مهاجم اجازه می دهد تا از جعبه ایمنی برنامه که برای مهار فعالیت آن طراحی شده است فرار کند و به بقیه سیستم عامل دستگاه دسترسی پیدا کند. استون گفت، تنها بخشی از برنامه بهره‌برداری به دست آمده است، بنابراین مشخص نیست که بار نهایی چه بوده است، حتی اگر سه آسیب‌پذیری راه را برای تحویل نهایی آن هموار کنند.

استون نوشت: «اولین آسیب‌پذیری در این زنجیره، فایل دلخواه خواندن و نوشتن، پایه و اساس این زنجیره بود که در چهار زمان مختلف استفاده شد و حداقل یک بار در هر مرحله استفاده شد. استون گفت: «مولفه‌های جاوا در دستگاه‌های اندرویدی با وجود اینکه در چنین سطح ممتازی اجرا می‌شوند، محبوب‌ترین اهداف برای محققان امنیتی نیستند.»

گوگل از ذکر نام فروشنده نظارت تجاری خودداری کرد، اما گفت که این بهره برداری از الگویی مشابه با آلودگی های اخیر دستگاه پیروی می کند که در آن از برنامه های مخرب اندروید برای ارائه نرم افزارهای جاسوسی قدرتمند دولت-ملت سوء استفاده می شود.

در اوایل سال جاری، محققان امنیتی هرمیت، یک نرم افزار جاسوسی اندروید و iOS را کشف کردند که توسط آزمایشگاه RCS توسعه یافته و در حملات هدفمند دولت ها با قربانیان شناخته شده در ایتالیا و قزاقستان استفاده می شود. هرمیت به فریب دادن یک هدف برای دانلود و نصب برنامه مخرب، مانند یک برنامه کمکی مخفی حامل سلولی، از خارج از فروشگاه برنامه تکیه می کند، اما سپس بی سر و صدا مخاطبین، ضبط های صوتی، عکس ها، فیلم ها و داده های دقیق موقعیت مکانی قربانی را می دزدد. گوگل شروع به اطلاع رسانی به کاربران اندرویدی کرد که دستگاه هایشان توسط Hermit در معرض خطر قرار گرفته است. فروشنده نظارتی Connexxa همچنین از برنامه های جانبی مخرب برای هدف قرار دادن دارندگان اندروید و آیفون استفاده می کند.

گوگل این سه آسیب‌پذیری را در اواخر سال ۲۰۲۰ به سامسونگ گزارش کرد و سامسونگ در مارس ۲۰۲۱ وصله‌هایی را برای گوشی‌های آسیب‌دیده منتشر کرد، اما در آن زمان فاش نکرد که این آسیب‌پذیری‌ها به طور فعال مورد سوء استفاده قرار گرفته‌اند. استون گفت که سامسونگ از آن زمان متعهد شده است که پس از اپل و گوگل که آسیب‌پذیری‌ها مورد حمله قرار می‌گیرند در به‌روزرسانی‌های امنیتی خود افشاگری را در زمانی که آسیب‌پذیری‌ها به طور فعال مورد سوء استفاده قرار می‌گیرند، آغاز کند.

استون با بیان اینکه تحقیقات بیشتر می تواند آسیب پذیری های جدیدی را در نرم افزارهای سفارشی ساخته شده توسط سازندگان دستگاه های اندرویدی مانند سامسونگ کشف کند، اضافه کرد: «تحلیل این زنجیره بهره برداری، بینش های جدید و مهمی را در مورد نحوه هدف قرار دادن مهاجمان دستگاه های اندرویدی به ما ارائه کرده است.

این نیاز به تحقیقات بیشتر در مورد اجزای خاص سازنده را برجسته می کند. استون گفت: این نشان می دهد که کجا باید تجزیه و تحلیل بیشتر انجام دهیم.