ظاهراً گوگل نمی‌تواند باگ‌های امنیتی حساس آندروید را رفع کند!

 دو آسیب‌پذیری گسترده که باید وصله‌های آن در سریع‌ترین زمان ممکن عرضه می‌شدند، به‌دلیل اکوسیستم ضعیف و زیرساخت بد به‌روزرسانی‌های آندروید هنوز آماده تحویل نشده‌اند و این‌بار گوگل مقصر این داستان است. گوگل هفته گذشته، وصله‌ای را برای آسیب‌پذیری Stagefright عرضه کرد، سیستم‌هایی که به این آسیب‌پذیری آلوده باشند با ارسال یک پیام MMS به‌آسانی هک می‌شوند. این آسیب‌پذیری از نسخه 2.2 آندروید به بعد روی همه سیستم‌عامل‌های این شرکت وجود داشته و در مجموع 950 میلیون دستگاه‌ را در معرض خطر قرار است. اما وصله عرضه شده از سوی گوگل کار نمی‌کند! وصله‌ای که متشکل از چهار خط کد بوده و توسط مهندسان گوگل برای تحویل مورد بازنگری قرار گرفته بود.

شرکت امنیتی Exodus Intelligence  می‌گوید: « عموم مردم بر این باور هستند که وصله ارائه شده کار نمی‌کند. ما ایمیل‌هایی برای گوگل ارسال کردیم و سعی کردیم درباره این مشکل کسب اطلاع کنند اما گوگل در خصوص به‌روزسانی این مشکل هیچ جوابی به ما نداد. در نتیجه تصمیم گرفتیم در خصوص عدم کارکرد وصله امنیتی منتشر شده از سوی گوگل عموم کاربران را مطلع سازیم.» Exodus می‌گوید: « گزارش این رخنه 120 روز پیش برای گوگل ارسال شد که در حالت استاندارد و مطابق با قوانین امنیتی گوگل 90 روز برای اصلاح این آسیب‌پذیری فرصت داشت. گوگل هنوز هیچ‌ اقدامی برای عرضه وصله‌ از طریق OTA که بتواند این آسیب‌پذیری را از دستگاه‌های آندروید پاک کند انجام نداده است. گوگل هیچ جدول زمانی برای رفع این مشکل امنیتی ارائه نکرده است.»

اگر هنوز هم فکر می‌کنید این خبر چندان بدی نیست، لازم است بدانید محققان آزمایشگاه MWR روز پنج‌شنبه اعلام کردند: « روشی را برای فرار از سندباکس آندروید شناسایی کرده‌اند. در این روش یک برنامه مخرب در قالب یک برنامه مدیریتی گوگل توانایی خواندن داده‌های حساس را بدون هیچ‌گونه مشکلی دارد این برنامه به‌راحتی توانایی دور زدن سندباکس آندروید را دارد.» آزمایشگاه MWR می‌گوید : «آن‌ها برای اولین بار این مشکل را در تاریخ 17 مارس سال جاری میلادی به اطلاع گوگل رساندند و روز بعد این آسیب‌پذیری شناسایی شد. اما در این دو ماه هیچ‌گونه واکنشی از سوی گوگل دریافت نکردند. زمانی‌که آزمایشگاه MWR از گوگل سؤال کرد چه برنامه‌ای برای حل این مشکل دارد، گوگل اعلام کرد در دو هفته آینده، و باز هم در دو هفته آینده این مشکل برطرف خواهد شد. اکنون هفت هفته از دو هفته گوگل گذشته است و هنوز هیچ خبری از گوگل نشده!» در نهایت آزمایشگاه MWR ایمیلی برای گوگل ارسال کرد و اعلام کرد در نظر دارد عموم مردم را در خصوص این آسیب‌پذیری مطلع سازد. دن گودین روزنامه‌نگار بخش امنیتی این دو آسیب‌پذیری را به عنوان دو حفره برتر آندروید معرفی می‌کند. سامسونگ و HTC اعلام کرده‌اند در حال تغییر سیاست‌های خود در زمینه عرضه وصله‌های امنیتی هستند. این موضوع باعث می‌شود تا دارندگان دستگاه‌های این دو شرکت از مشکلات امنیتی کمتری برخوردار باشند.

به‌نظر می‌رسد گوگل یک بخش کلیدی این مشکل است

لحظه محاسبه قابل اعتمادی که ویلیام به آن اشاره می‌کند اشاره به اتفاقی دارد که در سال 2002 برای محصولات مایکروسافت رخ داد و محصولات این شرکت به‌طور مرتب و یکی پس از دیگری در معرض حمله ویروس‌ها و کرم‌ها قرار گرفتند. در آن روزگار بیل گیتس نامه‌ای را برای کارمندان مایکروسافت ارسال کرد و در آن نوشت یک موضوع کاملا آشکار است. اگر مردم به محصولی اعتمادی نداشته باشند، آن محصول را خریداری نخواهند کرد؛ ما مجبور هستیم محصولات خود را تعمیر کنیم. یادداشتی که بیل گیتس در سال 2002 آن‌را برای کارمندان خود ارسال کرد، سرآغازی بر TwC (سرنام  Trustworthy Computing) شد. این اصطلاح اشاره به سیستم‌های محاسباتی دارد که بر مبنای امنیت، در دسترس بودن و قابل اعتماد بودن طراحی می‌شوند. زمانی‌که ویندوز ویستا در تاریخ 8 نوامبر 2006 منتشر شد، بخش‌هایی از آن تحت SDL (سرنام security development lifecycle) طراحی شدند. ویندوز 7 اولین سیستم‌عاملی بود که از ابتدا تا انتها به‌طور کامل تحت SDL طراحی شد، به‌طوری‌که تا تاریخ 22 جولای 2009 در اختیار سازندگان بزرگ قرار نگرفت.

اکنون بازی برای آندروید در حال تغییر است. آندروید در حال حاضر از سوی مجرمان سایبری سازمان یافته و نهادهای دولتی در معرض تهدیدات مختلف قرار دارد و آن‌ها با استفاده از آسیب‌پذیری‌های موجود در آندروید عملیاتی را روی آن پیاده‌سازی می‌کنند. اما خوشبختانه آندروید در مکان بهتری نسبت به مایکروسافت 2002 قرار دارد. نسخه‌های جدیدی که از آن عرضه می‌شوند در مقایسه با Windows Me  یا ویندوز ایکس‌اپی ایمن‌تر هستند. اما کاملا روشن است، گوگل نیاز دارد مشکلات را به‌سرعت حل کند. همچنین بهتر است سازندگان دستگاه‌ها حرکتی شبیه به سامسونگ و HTC را در چرخه کاری خود پیاده‌سازی کنند. در نقطه مقابل آندروید، iOS اپل قرار دارد که به شیوه بهتری عمل می‌کند. اپل به‌تازگی به‌روزرسانی‌های لازم برای OS X و iOS را منتشر کرده است. فهرستی طولانی که مشکلات امنیتی مختلفی از جمله مشکلی که در نسخه 10.10.5 سیستم‌عامل مک قرار داشته است را برطرف کرده است.