نشرت شركة جوجل تقريرها السنوي حول ثغرات الأمان "0-day"، حيث قدمت إحصاءات عن استغلال هذه الثغرات في البرمجيات خلال عام 2022، وأبرزت مشكلة قائمة منذ فترة طويلة في منصة أندرويد تزيد من قيمة واستخدام الثغرات المكشوفة لفترات طويلة.
ويسلط تقرير جوجل الضوء بشكل خاص على مشكلة الثغرات "n-days" في أندرويد التي تعمل كثغرات "0-day" للمهاجمين.
تعود مشكلة ذلك إلى تعقيد بيئة أندرويد، حيث يتضمن الأمر عدة خطوات بين المزود العلوي (جوجل) والشركات المصنعة الأخرى (مصنعي الهواتف)، ويوجد فروق كبيرة في فترات التحديثات الأمانية بين نماذج الأجهزة المختلفة، بالإضافة إلى فترات الدعم القصيرة والإشكاليات الأخرى.
تعتبر الثغرة "0-day" ثغرة في البرمجيات معروفة قبل أن يكتشفها المزود ويصلحها، مما يسمح باستغلالها في هجمات قبل توفر تصحيح لها. أما الثغرة "n-day" فهي تلك التي يتم معرفتها علنًا سواء كان هناك تصحيح لها أم لا.
على سبيل المثال، إذا كانت الشركة تعرف عن ثغرة في أندرويد قبل جوجل، فإنها تعتبر "0-day". ولكن بمجرد أن تعلم جوجل عنها، يصبح الأمر "n-day"، حيث يعكس الحرف "n" عدد الأيام منذ أن أصبحت معروفة علنًا.
تحذر جوجل من أن المهاجمين يمكنهم استخدام الثغرات "n-days" لاستهداف الأجهزة غير المصححة لفترات طويلة، باستخدام طرق استغلال معروفة أو ابتكار طرق جديدة، رغم توفر تصحيح من جوجل أو مزود آخر.
يعود هذا إلى وجود فجوات في التصحيح، حيث تقوم جوجل أو مزود آخر بإصلاح ثغرة، لكن يستغرق من الشركة المصنعة للجهاز عدة أشهر لنشر التصحيح في إصدارات أندرويد الخاصة بها.
توضح تقرير جوجل: "تلك الفجوات بين المزودين العلوي والسفلي تسمح للثغرات "n-days" - التي أصبحت معروفة علنًا - بأن تعمل كثغرات "0-day"، نظرًا لعدم توافر تصحيح للمستخدم وأن أفضل دفاع لديه هو التوقف عن استخدام الجهاز".
ومع أن هذه الفجوات موجودة في معظم العلاقات العلوية/السفلية، إلا أنها تظهر بشكل أكبر وتدوم فترة أطول في أندرويد.
في عام 2022، كانت هناك العديد من المشكلات من هذا النوع تؤثر في أندرويد، بما في ذلك CVE-2022-38181، وهي ثغرة في وحدة معالجة الرسوميات ARM Mali. تم الإبلاغ عن هذه الثغرة لفريق أمان أندرويد في يوليو 2022، واعتبرت "لن يتم إصلاحها"، ثم تم إصلاحها بواسطة ARM في أكتوبر 2022، وأخيراً تم دمج التصحيح في تحديث أمان أبريل 2023 لنظام أندرويد.
تبين أن هذه الثغرة تم استغلالها في الواقع في نوفمبر 2022، وذلك بعد شهر من تصحيحها من قِبل ARM.
استمر استغلال الثغرة دون عوائق حتى أبريل 2023، عندما أصدر تحديث أمان أندرويد التصحيح لها، بعد مرور 6 أشهر كاملة من إصلاحها من قِبل ARM.
كما تم استغلال ثغرة CVE-2022-3038، وهي ثغرة للخروج من الحجر الصحي في Chrome 105، في ديسمبر 2022 كجزء من سلسلة هجمات أدت إلى إصابة أجهزة أندرويد من سامسونج ببرامج التجسس.
علاوة على ذلك، تم العثور على ثغرة CVE-2022-22706، وهي ثغرة في برنامج تشغيل نواة وحدة معالجة الرسوميات ARM Mali، واستغلالها في ديسمبر 2022 أيضًا.
بعد تصحيح ثغرة CVE-2022-22706 من قِبل المزود، أصدرت سامسونج تحديثًا أمانًا لها في مايو 2023، بينما اعتمد تحديث أمان أندرويد تصحيح ARM في تحديث أمان يونيو 2023، بعد تأخر غير مسبوق بلغ 17 شهرًا.
وحتى بعد أن تصدر جوجل تحديث أمان أندرويد، قد يستغرق من بائعي الأجهزة حتى ثلاثة أشهر لجعل التصحيحات متاحة لنماذج الأجهزة المدعومة، مما يمنح المهاجمين فترة زمنية إضافية للاستفادة من الثغرات على أجهزة معينة غير المصححة.
تجعل هذه الفجوة في التصحيح الثغرة "n-day" تمامًا مثل الثغرة "0-day" بالنسبة للمهاجمين الذين يمكنهم استغلالها على الأجهزة غير المصححة. يمكن أن تعتبر هذه الثغرات "n-days" أكثر فائدة من الثغرات "0-day" نظرًا لأن التفاصيل التقنية قد نُشِرت بالفعل، وربما مع وجود استغلالات "proof-of-concept"، مما يجعل الأمر أسهل للمهاجمين الاستفادة منها.
وتظهر بيانات ملخص نشاط جوجل لعام 2022 أن عدد ثغرات "0-day" قل عن العام السابق وبلغ 41 ثغرة، وأكبر انخفاض تم تسجيله في فئة المتصفحات حيث بلغ عدد الثغرات 15 في العام الماضي (وكان 26 في عام 2021).
ومن الملاحظ أن أكثر من 40% من ثغرات "0-day" التي تم اكتشافها في عام 2022 كانت متغيرات لثغرات تم الإبلاغ عنها سابقًا، حيث أن تجاوز تصحيح الثغرات المعروفة عادةً أسهل من العثور على ثغرة "0-day" جديدة يمكن أن تخدم سلاسل هجمات مشابهة.
تابع موقعنا tech1new.com انضم إلى صفحتنا على فيسبوك و متابعتنا على Twitter ، أو أضف tech1new.com إلى موجز أخبار Google الخاص بك للحصول على تحديثات إخبارية فورية ومراجعات وشروحات تقنية
ليست هناك تعليقات:
إرسال تعليق