همه دستگاه‌های اندرویدی به آسیب‌پذیری خطرناک حمله پوششی آلوده هستند

آسیب‌پذیری فوق با شماره CVE-2017-0752 به ثبت رسیده و در اصل آسیب‌پذیری ارتقا امتیاز بوده که در چهارچوب windowmanager شناسایی شده است. آسیب‌پذیری فوق از اعلان Toast در سیستم‌عامل اندروید بهره‌برداری کرده تا محتوایی که در صفحه‌نمایش به کاربر نشان داده می‌شود را دستکاری کند کارشناسان شرکت پالوآلتو اعلام داشته‌اند که در این سری از حملات هکرها به مجوزها و همچنین شرایط خاص برای پیاده‌سازی این حمله نیازی ندارند.

مطلب پیشنهادی

به‌کارگیری یک الگوریتم ناکارآمد

متخصصان امنیتی رمزنگاری توانستند 320 میلیون رمزعبور را بشکنند

آسیب‌پذیری فوق در تمامی سیستم‌عامل‌های اندروید به جز Oreo وجود داشته اما هنوز گزارشی در خصوص بهره‌برداری از این آسیب‌پذیری اعلام نشده است. آسیب‌پذیری فوق به هکرها اجازه می‌دهد کنترل دستگاه آسیب‌پذیری را از طریق نرم‌افزارهای مخرب به دست بگیرند. به‌طوری که در نهایت بدافزارهایی همچون باج‌افزارها و سرقت‌کننده‌های اطلاعات را روی سیستم‌عامل آسیب‌پذیر نصب کنند. در این‌ مدل حملات پنجره‌ای روی دیگر پنجره‌ها و سایر برنامه‌ها نشان داده می‌شود و در حالی که قربانی تصور می‌کند روی پنجره اصلی کلیک کرده در حقیقت روی هیچ پنجره‌ای کلیک نکرده بلکه به هکر مجوزهای لازم برای نصب بدافزار روی دستگاه خود را داده است. آسیب‌پذیری فوق به هکر اجازه می‌دهد روی سرویس اعلان Toast و همچنین پنجره TYPE_TOATS کنترل کاملی داشته باشد.

مطلب پیشنهادی

گذرواژه خود را تغییر دهید

مشکل امنیتی اینستاگرام فراتر از حد انتظار: میلیون‌ها نفر در خطر قرار دارند (راه مقابله)

در حالی که نسخه 7.1 اندروید برای حل این مشکل به راهکار خروج در مدت زمان 3 ثانیه و نیم برای نمایش پنجره Toast روی آورده است و اجازه می‌دهد تنها یک نمونه از پنجره‌های یاد شده نشان داده شوند، اما با این وجود آسیب‌پذیری فوق هنوز هم در اندروید وجود دارد. در حال حاضر برنامه‌های کاربری برای نمایش پنجره Toast به مجوز کاربر نیازی ندارد و مستقیما این پنجره را ظاهر می‌سازند. کاربرانی که از سیستم‌عامل Oreo استفاده می‌کنند به این آسیب‌پذیری آلوده نیستند. اما کاربران دیگر باید به محض انتشار به‌روزرسانی آتی آن‌را دانلود کنند تا قربانی حملات پوششی نشوند.