لقد كشفت Google للتو عن أربع نقاط من الحرجة البق يوم الصفر تؤثر على مجموعة كبيرة من هواتف Android ، بما في ذلك بعض طرازات Pixel الخاصة بها.
تختلف هذه الأخطاء قليلاً عن نقاط الضعف المعتادة في Android ، والتي تؤثر عادةً على نظام التشغيل Android (الذي يعتمد على Linux) أو التطبيقات المصاحبة له ، مثل Google Play أو الرسائل أو متصفح Chrome.
تُعرف الأخطاء الأربعة التي نتحدث عنها هنا باسم نقاط ضعف النطاق الأساسي، مما يعني أنها موجودة في البرامج الثابتة الخاصة بشبكات الهاتف المحمول التي تعمل على ما يسمى بشريحة النطاق الأساسي للهاتف.
بالمعنى الدقيق للكلمة، القاعدي هو مصطلح يستخدم لوصف الأجزاء الأولية أو ذات التردد الأدنى لإشارة راديو فردية ، على عكس إشارة النطاق العريض ، والتي تتكون (بشكل فضفاض للغاية) من إشارات نطاق أساسية متعددة تم ضبطها في نطاقات تردد متجاورة عديدة ويتم إرسالها في نفس الوقت في من أجل زيادة معدلات البيانات ، أو تقليل التداخل ، أو مشاركة طيف التردد على نطاق أوسع ، أو تعقيد المراقبة ، أو كل ما سبق. الكلمة القاعدي تُستخدم أيضًا بشكل مجازي لوصف شريحة الأجهزة والبرامج الثابتة المرتبطة بها والتي تُستخدم للتعامل مع الإرسال والاستقبال الفعليين لإشارات الراديو في الأجهزة التي يمكنها الاتصال لاسلكيًا. (المربك إلى حد ما ، الكلمة القاعدي يشير عادةً إلى النظام الفرعي في الهاتف الذي يتعامل مع الاتصال بشبكة الهاتف المحمول ، ولكن ليس إلى الشرائح والبرامج التي تتعامل مع اتصالات Wi-Fi أو Bluetooth.)
مودم هاتفك المحمول
تعمل رقائق النطاق الأساسي عادةً بشكل مستقل عن الأجزاء "غير الهاتفية" بهاتفك المحمول.
يديرون بشكل أساسي نظام تشغيل مصغر خاص بهم ، على معالج خاص بهم ، ويعملون جنبًا إلى جنب مع نظام التشغيل الرئيسي لجهازك لتوفير اتصال بشبكة الهاتف المحمول لإجراء المكالمات والرد عليها ، وإرسال البيانات واستلامها ، والتجوال على الشبكة ، وما إلى ذلك. .
إذا كنت تبلغ من العمر ما يكفي لاستخدام الإنترنت عبر الطلب الهاتفي ، فستتذكر أنه كان عليك شراء مودم (اختصار المغير والمزيل) ، التي قمت بتوصيلها إما بمنفذ تسلسلي في الجزء الخلفي من جهاز الكمبيوتر الخاص بك أو في فتحة توسعة بداخله ؛ سيتصل المودم بشبكة الهاتف ، وسيتصل جهاز الكمبيوتر الخاص بك بالمودم.
حسنًا ، أجهزة وبرامج النطاق الأساسي لهاتفك المحمول هي ، ببساطة شديدة ، مودم مدمج ، يتم تنفيذه عادةً كمكون فرعي لما يُعرف باسم SoC الخاص بالهاتف ، باختصار النظام على الشريحة.
(يمكنك التفكير في SoC كنوع من "الدوائر المتكاملة" ، حيث تم دمج المكونات الإلكترونية المنفصلة التي كانت مترابطة من خلال تركيبها على مقربة من اللوحة الأم بشكل أكبر من خلال دمجها في حزمة شريحة واحدة.)
في الواقع ، ستظل ترى معالجات النطاق الأساسي يشار إليها باسم أجهزة المودم ذات النطاق الأساسي، لأنهم ما زالوا يتعاملون مع أعمال تعديل وإلغاء تعديل إرسال واستقبال البيانات من وإلى الشبكة.
كما يمكنك أن تتخيل ، هذا يعني أن جهازك المحمول ليس فقط في خطر من مجرمي الإنترنت عبر الأخطاء في نظام التشغيل الرئيسي أو أحد التطبيقات التي تستخدمها ...
... ولكن أيضًا معرضة لخطر الثغرات الأمنية في النظام الفرعي للنطاق الأساسي.
في بعض الأحيان ، تسمح عيوب النطاق الأساسي للمهاجم ليس فقط باختراق المودم نفسه من الإنترنت أو شبكة الهاتف ، ولكن أيضًا لاقتحام نظام التشغيل الرئيسي (تتحرك أفقياالطرق أو التمحور، كما يسميها المصطلح) من المودم.
ولكن حتى إذا لم يتمكن المحتالون من تجاوز المودم وما بعده إلى تطبيقاتك ، فمن شبه المؤكد أنهم يستطيعون فعل قدر هائل من الضرر السيبراني بمجرد زرع برامج ضارة في النطاق الأساسي ، مثل اكتشاف بيانات الشبكة أو تحويلها ، والتطفل على بيانات الشبكة الخاصة بك. الرسائل النصية وتتبع مكالماتك الهاتفية والمزيد.
والأسوأ من ذلك ، أنه لا يمكنك فقط إلقاء نظرة على رقم إصدار Android أو أرقام إصدارات تطبيقاتك للتحقق مما إذا كنت معرضًا للخطر أو مصححًا ، نظرًا لأن أجهزة النطاق الأساسي التي لديك والبرامج الثابتة والتصحيحات التي تحتاجها لها ، تعتمد على جهازك المادي ، وليس على نظام التشغيل الذي تعمل عليه.
حتى الأجهزة التي تكون "متشابهة" من جميع النواحي الواضحة - تُباع تحت نفس العلامة التجارية ، باستخدام نفس اسم المنتج ، مع نفس رقم الطراز والمظهر الخارجي - قد يتضح أنها تحتوي على شرائح نطاق أساسية مختلفة ، اعتمادًا على المصنع الذي قام بتجميعها أو السوق الذي تم بيعهم فيه.
أيام الصفر الجديدة
يتم وصف أخطاء Google التي تم اكتشافها مؤخرًا على النحو التالي:
[رقم الخطأ] CVE-2023-24033 (وثلاث ثغرات أمنية أخرى لم يتم تخصيصها بعد لهويات CVE) يسمح بتنفيذ التعليمات البرمجية عن بُعد من الإنترنت إلى النطاق الأساسي. تؤكد الاختبارات التي أجراها [Google] Project Zero أن هذه الثغرات الأمنية الأربعة تسمح للمهاجم باختراق هاتف على مستوى النطاق الأساسي دون تدخل المستخدم ، ويتطلب فقط أن يعرف المهاجم رقم هاتف الضحية.
مع محدودية البحث والتطوير الإضافي ، نعتقد أن المهاجمين المهرة سيكونون قادرين على إنشاء استغلال تشغيلي سريعًا لاختراق الأجهزة المتأثرة بصمت وعن بُعد.
في اللغة الإنجليزية البسيطة ، تعني فجوة تنفيذ التعليمات البرمجية من الإنترنت إلى النطاق الأساسي عن بُعد أن المجرمين يمكنهم حقن برامج ضارة أو برامج تجسس عبر الإنترنت في جزء هاتفك الذي يرسل بيانات الشبكة ويستقبلها ...
... دون وضع أيديهم على جهازك الفعلي ، أو استدراجك إلى موقع ويب مخادع ، أو إقناعك بتثبيت تطبيق مشكوك فيه ، أو في انتظارك للنقر على الزر الخطأ في تحذير منبثق ، أو إرسال إشعار مريب ، أو الخداع أنت بأي طريقة أخرى.
18 بق ، أربعة أبقى شبه سرية
كان هناك 18 خطأ في هذه الدفعة الأخيرة ، التي أبلغت عنها Google في أواخر عام 2022 وأوائل عام 2023.
تقول Google إنها تكشف عن وجودها الآن لأن الوقت المتفق عليه قد مضى منذ أن تم الكشف عنها (الإطار الزمني لشركة Google عادة 90 يومًا ، أو قريبًا منه) ، ولكن بالنسبة للأخطاء الأربعة المذكورة أعلاه ، لا تكشف الشركة عن أي تفاصيل ، مشيرة إلى أن :
نظرًا لمجموعة نادرة جدًا من مستوى الوصول الذي توفره هذه الثغرات الأمنية والسرعة التي نعتقد أنه يمكن بها صياغة برمجيات إكسبلويت تشغيلية موثوقة ، فقد قررنا إجراء استثناء في السياسة لتأخير الكشف عن الثغرات الأمنية الأربعة التي تتيح الاتصال بالإنترنت تنفيذ رمز النطاق الأساسي البعيد
بلغة إنجليزية بسيطة: إذا أردنا إخبارك بكيفية عمل هذه الأخطاء ، فسنجعل من السهل جدًا على مجرمي الإنترنت البدء في فعل أشياء سيئة حقًا للعديد من الأشخاص عن طريق زرع برامج ضارة على هواتفهم بشكل خفي.
بعبارة أخرى ، حتى Google ، التي أثارت الجدل في الماضي لرفضها تمديد المواعيد النهائية للإفصاح ونشر رمز إثبات المفهوم علنًا لأيام الصفر التي لم يتم تصحيحها بعد ، قررت اتباع روح مسئول المشروع صفر. عملية الإفصاح ، بدلاً من التمسك بحرفها.
حجة Google للالتزام بشكل عام بالحرف وليس روح قواعد الإفصاح الخاصة بها ليست غير معقولة تمامًا. باستخدام خوارزمية غير مرنة لتحديد موعد الكشف عن تفاصيل الأخطاء غير المصححة ، حتى لو كان من الممكن استخدام هذه التفاصيل للشر ، تجادل الشركة بأنه يمكن تجنب الشكاوى من المحاباة والذاتية ، مثل ، "لماذا حصلت الشركة X على ثلاثة أسابيع لإصلاح الخطأ ، في حين أن الشركة Y لم تفعل ذلك؟ "
ماذا ستفعلين.. إذًا؟
مشكلة الأخطاء التي تم الإعلان عنها ولكن لم يتم الكشف عنها بالكامل هي أنه من الصعب الإجابة على الأسئلة ، "هل أنا متأثر؟ وإذا كان الأمر كذلك ، فماذا أفعل؟ "
على ما يبدو ، ركزت أبحاث Google على الأجهزة التي تستخدم مكون مودم النطاق الأساسي الذي يحمل علامة Samsung Exynos ، لكن هذا لا يعني بالضرورة أن النظام الموجود على الشريحة سيحدد أو يسمي نفسه على أنه Exynos.
على سبيل المثال ، تستخدم أجهزة Pixel الحديثة من Google نظام Google الخاص بالشريحة والعلامة التجارية موتر، ولكن كلا من Pixel 6 و Pixel 7 معرضان لأخطاء النطاق الأساسي التي لا تزال شبه سرية.
نتيجةً لذلك ، لا يمكننا تزويدك بقائمة نهائية بالأجهزة المحتمل تأثرها ، لكن Google تبلغ (تركيزنا):
استنادًا إلى المعلومات الواردة من مواقع الويب العامة التي تعين مجموعات الشرائح على الأجهزة ، من المحتمل أن تتضمن المنتجات المتأثرة ما يلي:
- الأجهزة المحمولة من سامسونج ، بما في ذلك تلك الموجودة في S22 و M33 و M13 و M12 و A71 و A53 و A33 و A21s و A13 و A12 و A04 سلسلة؛
- الأجهزة المحمولة من فيفو، بما في ذلك تلك الموجودة في S16 و S15 و S6 و X70 و X60 و X30 سلسلة؛
- • بكسل 6 و بكسل 7 سلسلة من الأجهزة من شراء مراجعات جوجل، و
- أي مركبات تستخدم إكسينوس أوتو T5123 شرائح.
تقول Google أنه تم تصحيح البرامج الثابتة للنطاق الأساسي في كل من Pixel 6 و Pixel 7 كجزء من تحديثات أمان Android لشهر مارس 2023 ، لذلك يجب على مستخدمي Pixel التأكد من حصولهم على أحدث التصحيحات لأجهزتهم.
بالنسبة للأجهزة الأخرى ، قد يستغرق البائعون المختلفون فترات زمنية مختلفة لشحن تحديثاتهم ، لذا تحقق مع البائع أو مزود خدمة الجوال للحصول على التفاصيل.
في غضون ذلك ، يمكن على ما يبدو تجنب هذه الأخطاء في إعدادات جهازك ، إذا كنت:
- قم بإيقاف تشغيل الاتصال عبر Wi-Fi.
- قم بإيقاف تشغيل Voice-over-LTE (VoLTE).
في جوجل كلمات, "سيؤدي إيقاف تشغيل هذه الإعدادات إلى إزالة مخاطر استغلال هذه الثغرات الأمنية."
إذا لم تكن بحاجة إلى هذه الميزات أو استخدامها ، فيمكنك أيضًا إيقاف تشغيلها على أي حال حتى تعرف على وجه اليقين ما هي شريحة المودم الموجودة في هاتفك وما إذا كانت بحاجة إلى تحديث.
بعد كل شيء ، حتى إذا تبين أن جهازك غير معرض للخطر أو تم تصحيحه بالفعل ، فلا يوجد جانب سلبي لعدم وجود أشياء لا تحتاجها.
مميز صورة من ويكيبيديا بواسطة المستخدم كوف3، تحت CC BY-SA 3.0 رخصة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/03/17/dangerous-android-phone-0-day-bugs-revealed-patch-or-work-around-them-now/
- :يكون
- 1
- 2022
- 2023
- 7
- a
- ماهرون
- من نحن
- فوق
- مطلق
- الوصول
- إضافي
- تعديل
- تؤثر
- تؤثر
- خوارزمية
- الكل
- جنبا إلى جنب
- سابقا
- كمية
- و
- الروبوت
- أعلن
- إجابة
- التطبيق
- التطبيقات
- التطبيقات
- هي
- يجادل
- حجة
- حول
- AS
- تجميعها
- تعيين
- أسوشيتد
- At
- ينجذب
- المؤلفة
- السيارات
- تجنب
- الى الخلف
- خلفية الصورة
- سيئة
- BE
- لان
- اعتقد
- قطعة
- بلوتوث
- الحدود
- الملابس السفلية
- العلامة تجارية
- وصفت
- استراحة
- النطاق العريض
- المتصفح
- علة
- البق
- مدمج
- الأعمال
- زر
- يشترى
- by
- دعوة
- دعوات
- CAN
- مركز
- بالتأكيد
- التحقق
- رقاقة
- شيبس
- شرائح
- الكروم
- متصفح الكروم
- انقر
- اغلاق
- الكود
- اللون
- مجموعة
- الجمع بين
- تأتي
- التواصل
- حول الشركة
- شكاوي
- عنصر
- مكونات
- حل وسط
- أجرت
- أكد
- التواصل
- التواصل
- الإتصال
- تباين
- جدال
- استطاع
- بهيكل
- خلق
- المجرمين
- حرج
- المحتالون
- CVE
- مجرمو الإنترنت
- خطير
- البيانات
- أيام
- تقرر
- قررت
- نهائي
- تأخير
- اعتمادا
- وصف
- وصف
- تفاصيل
- التطوير التجاري
- جهاز
- الأجهزة
- فعل
- مختلف
- صعبة
- إفشاء
- إفشاء
- اكتشف
- العرض
- لا
- فعل
- لا
- الجانب السلبي
- في وقت مبكر
- سهل
- إما
- إلكتروني
- تشديد
- عربي
- ضخم
- كاف
- ضمان
- تماما
- أساسيا
- حتى
- مثال
- استثناء
- توسع
- استغلال
- استغلال
- مد
- احتفل على
- مصنع
- بعيدا
- المميزات
- حل
- العيوب
- ركز
- اتباع
- متابعات
- في حالة
- تردد
- تبدأ من
- تماما
- إضافي
- على العموم
- دولار فقط واحصل على خصم XNUMX% على جميع
- الحصول على
- منح
- إعطاء
- شراء مراجعات جوجل
- Google Play
- جوجل
- مقبض
- مقابض
- العناية باليد
- أجهزة التبخير
- يملك
- وجود
- ارتفاع
- هنا
- حفرة
- تحوم
- كيفية
- HTML
- HTTPS
- i
- تحديد
- المتطابقات
- نفذت
- in
- تتضمن
- بما فيه
- القيمة الاسمية
- بشكل مستقل
- فرد
- معلومات
- تثبيت
- المتكاملة
- تفاعل
- مترابطة
- Internet
- IT
- انها
- نفسها
- رطانة
- JPG
- علم
- معروف
- متأخر
- آخر
- خطاب
- مستوى
- رخصة
- على الأرجح
- محدود
- قائمة
- بحث
- الرئيسية
- جعل
- القيام ب
- البرمجيات الخبيثة
- رسم خريطة
- مارس
- هامش
- تجارة
- ماكس العرض
- معنى
- يعني
- غضون ذلك
- رسائل
- ربما
- الجوال
- الجهاز المحمول
- الهاتف المحمول
- نموذج
- عارضات ازياء
- الأكثر من ذلك
- متعدد
- الاسم
- بالضرورة
- حاجة
- إحتياجات
- شبكة
- بيانات الشبكة
- الشبكات
- جديد
- عادي
- إعلام
- عدد
- أرقام
- كثير
- واضح
- of
- قديم
- on
- ONE
- طريقة التوسع
- تعمل
- نظام التشغيل
- تشغيل
- طلب
- أخرى
- الخاصة
- صفقة
- جزء
- أجزاء
- مرت
- الماضي
- بقعة
- بقع
- بول
- PC
- مجتمع
- للهواتف
- المكالمات الهاتفية
- الهواتف
- مادي
- بكسل
- عادي
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- مسدود
- سياسة
- المنبثقة
- ان يرتفع المركز
- المنشورات
- يحتمل
- ابتدائي
- المشكلة
- عملية المعالجة
- المعالج
- المعالجات
- منتج
- المنتجات
- تنفيذ المشاريع
- تزود
- مزود
- جمهور
- نشر
- الأسئلة المتكررة
- بسرعة
- راديو
- نطاق
- نادر
- الأجور
- بدلا
- يتلقى
- يستلم
- الأخيرة
- مؤخرا
- تخفيض
- يشار
- يشير
- رافض
- الخدمة الموثوقة
- تذكر
- عن بعد
- إزالة
- وذكرت
- التقارير
- تطلب
- بحث
- البحث والتطوير
- مسؤول
- نتيجة
- كشف
- أظهرت
- المخاطرة
- القواعد
- يجري
- تشغيل
- نفسه
- سامسونج
- يقول
- أمن
- تحديثات الأمان
- إرسال
- مستقل
- مسلسل
- مسلسلات
- إعدادات
- مشاركة
- قصير
- ينبغي
- سيجنل
- إشارات
- ببساطة
- منذ
- عزباء
- ماهر
- فتحة
- التطفل
- So
- تطبيقات الكمبيوتر
- باعت
- الصلبة
- بعض
- قليلا
- تحدث
- تختص
- طيف
- سرعة
- روح
- برامج التجسس
- بداية
- الشائكة
- لا يزال
- هذه
- المراقبة
- مشكوك فيه
- SVG
- نظام
- أخذ
- الحديث
- اختبارات
- أن
- •
- من مشاركة
- منهم
- أنفسهم
- تشبه
- الأشياء
- اعتقد
- ثلاثة
- الوقت
- إطار زمني
- إلى
- جدا
- تيشرت
- تتبع الشحنة
- انتقال
- شفاف
- منعطف أو دور
- عادة
- مع
- تحديث
- آخر التحديثات
- URL
- تستخدم
- مستخدم
- المستخدمين
- عادة
- السيارات
- بائع
- الباعة
- الإصدار
- بواسطة
- نقاط الضعف
- الضعيفة
- انتظار
- تحذير
- طريق..
- الموقع الإلكتروني
- المواقع
- أسابيع
- حسن
- ابحث عن
- سواء
- التي
- في حين
- واي فاي
- واسع
- مدى واسع
- على نحو واسع
- ويكيبيديا
- سوف
- مع
- كلمة
- كلمات
- للعمل
- عمل
- سوف
- خاطئ
- X
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت
- صفر