يؤدي خلل كروم في اليوم صفر إلى تعرض الملايين من مستخدمي الهواتف الذكية للخطر

نيكول كوزما

اكتشف باحث صيني استغلال يسمح للمهاجمين باختطاف أجهزة الجوال التي تعمل بنظام التشغيل أندرويد من خلال متصفح كروم، مما يعرض الملايين للخطر.

في حديثه في مؤتمر باكسيك الذي عقد في طوكيو، اليابان هذا الشهر، شيهو 360 الباحث غوانغ غونغ أظهرت كيف يمكن استغلال عيب في اليوم صفر للاستيلاء على جهاز الروبوت تحديثها بالكامل.

كما ذكرت من قبل الشؤون الأمنية، استغل الخبير الأمني ​​الصيني خلل جافا سكريبت v8 من خلال متصفح كروم لاختطاف جهاز غوغل بروجيكت في نيكسوس 6 الذي يقوم بتشغيل أحدث نظام التشغيل، أندرويد 6.0 مارشمالو.

تكلفة هجمات رانسومواري: 1000000000 $ هذا العام؛ كروم لبدء وضع العلامات على اتصالات هتب غير آمنة؛ مشروع هايبرلدجر ينمو مثل غانغبوستيرس؛ الآن يمكنك شراء عصا أوسب الذي يدمر أي شيء في طريقها

وقال عضو فريق باكسيك دراغوس رويو في وظيفة على + غوغل أن الباحث كان قادرا على خطف جهازه جديدة من خارج منطقة الجزاء – وليس فقط أحدث نظام التشغيل، ولكن مجموعة واسعة من التطبيقات المحدثة بالكامل – عن طريق إرسال الهاتف الذكي إلى شبكة الإنترنت الخادم غونغ قد وضعت شخصيا حتى كاملة مع صفحة الخبيثة الجاهزة.

ثم جاء الخلل جافا في العمل وتثبيت تطبيق التعسفي يستخدم لمصارع السيطرة على الجهاز بعيدا عن المستخدم وإلى أيدي المهاجم. لم يكن لدى المستخدم للتفاعل مع الصفحة الخبيثة للاستغلال للعمل خارج زيارة الموقع.

في مثال الباحث، وكان التطبيق التعسفي لعبة الدراجة بمكس، ولكن من الناحية النظرية هذا يمكن أن يكون أي طرف ثالث التطبيق الذي يبدو مشروعا. وغالبا ما تستخدم التطبيقات الضارة التي تبدو أنها شرعية، برنامج مقبول قناع قناع أنشطة المهاجم، والتي يمكن أن تشمل الاختطاف وسرقة البيانات ورصد الجهاز.

ووصف رويو الهجوم بأنه “استغلالا واحدا” الذي “فعل كل شيء دفعة واحدة بدلا من تسليط الضوء على نقاط ضعف متعددة” – وهي مشكلة خطيرة بالنسبة لأمن أندرويد مما يشير أيضا إلى أن الملايين من الأجهزة التي تعمل بمحرك جافا سكريبت قد تتأثر، مما يضع عددا لا يحصى من المستخدمين في خطر.

وفي الوقت نفسه، فقد اختبرنا أيضا استغلاله على بعض الهواتف الأخرى، ويبدو أنه يعمل على العديد من الأهداف – لذلك أعتقد أن الأشهر الثلاثة التي وضعها في تطوير النتائج التي تم التوصل إليها “، كما قال رويو.” وبما أننا لا نملك أي جوائز فخمة له، وأنا أحضر له إلى كندا في العام المقبل لبعض التزلج / التزلج على الجليد في كانسيكويست.

وقال قونغ على تويتر يوم الصفر، نظرا كوني كفي-2015-6612، ذكرت من قبل غونغ وباحث غير معروف آخر في أغسطس، ولكن الإصلاح لم يصل بعد.

أعلى الأدوات والملحقات للأجهزة وأمن البيانات؛ كيفية إطلاق فعالية فريق الأحمر الإختراق المشاريع؛ في أعقاب اشلي ماديسون، وهنا قصة رجل واحد من الجنس والحزن والابتزاز؛ وقد عانى عملك خرق البيانات. الآن ماذا؟؛ 10 أشياء كنت لا تعرف عن الويب الظلام

الأمن؛ مكتب التحقيقات الفدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق المسؤولين الحكوميين في الولايات المتحدة؛ الأمن؛ وورد يحث المستخدمين على تحديث الآن لإصلاح الثغرات الأمنية الحرجة؛ الأمن؛ البيت الأبيض يعين أول رئيس مجلس أمن أمن المعلومات الاتحادية؛ الأمن؛ انتقد البنتاغون لسيبر استجابة الطوارئ من قبل الوكالة الحكومية الدولية

في تموز (يوليو)، أصدرت غوغل تحديثا أمنيا قام بتصحيح العيوب الحرجة في متصفح كروم، بما في ذلك عدد من الأخطاء البرمجية الشاملة عبر المواقع عالية الخطورة.

وفي رسالة بالبريد الإلكتروني إلى الموقع الإلكتروني، قال متحدث باسم غوغل: “تهانينا لقوانغ غونغ وشكرا لكم على جعل نظام أندرويد و كروم أكثر أمانا وأقوى في نهاية المطاف”.

وأضاف المتحدث أن غوغل تبحث عن إصلاح الآن وستشارك المزيد من التفاصيل بأسرع ما يمكن.

قراءة على: يختار الأعلى

مكتب التحقيقات الفيدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق مسؤولين حكوميين أمريكيين

ووردبحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة

البيت الأبيض يعين أول رئيس أمن المعلومات الاتحادية

انتقد البنتاغون للاستجابة السيبرانية في حالات الطوارئ من قبل الوكالة الحكومية الدولية

Refluso Acido