آسیب‌پذیری (CVE-2016-3862) درسیستم‌عامل اندروید

اگر شما صاحب یک گوشی هوشمند اندروید هستید توجه داشته باشید که مشاهده یک تصویر روی رسانه‌های اجتماعی یا برنامه‌های پیام‌رسان می‌تواند گوشی هوشمند شما را به مخاطره اندازد.

بعد از آسیب‌پذیری خطرناک Quadrooter که روی حدود ۹۰۰ میلیون دستگاه اثر گذاشته است، گوگل هم اکنون یک نقص خطرناک دیگری را برطرف کرده است که با استفاده از آن مهاجمین می‌توانستند با استفاده از مشاهده عکس توسط کاربر از طریق رسانه‌های اجتماعی یا برنامه‌های پیام‌رسان، حمله خود را انجام دهند.

 در واقع داده‌های تصویری توسط گوشی Parse می‌شوند و نیاز نیست تا قربانی روی عکس مخرب کلیک کند و این امر به مهاجم اجازه می‌دهد تا کنترل روی دستگاه را بدست آورد و یا به سادگی آن را crash کند.

این آسیب‌پذیری شبیه به Stagefright است که در سال گذشته اجازه داد تا مهاجمین، دستگاه‌های اندروید را با فقط یک پیام متنی ساده به مخاطره بیاندازند بدون آنکه صاحب گوشی اطلاعی از آن داشته باشد.

نقص Stagefright روی بیش از ۹۵۰ میلیون دستگاه اندروید اثر گذاشته است. این نقص در کتابخانه Stagefright (که برای پردازش، ذخیره و پخش فایل‌های چندرسانه‌ای استفاده می‌شود) در هسته اندروید اقامت داشته است.

این آسیب‌پذیری در (CVE-2016-3862) گزارش شده است و هر برنامه‌ای که از ExifInterface.java در اندروید استفاده می‌کند، به این موضوع آسیب‌پذیر است.

مهاجم باید قربانی را قانع کند که عکسی را در برنامه‌های تاثیر پذیر مثل Gchat یا Gmail باز کند، در این صورت مهاجم می‌تواند گوشی قربانی را crash کند یا کد مخرب را از راه دور اجرا کند و کنترل گوشی قربانی را بدست آورد زیرا که برنامه به صورت خودکار عکس را Parse می‌کند.

مطابق با Strazzere، مهاجمین می‌توانند یک کد بهره‌بردار را به داخل عکس قرار دهند تا بتوانند تعداد زیادی از دستگاه‌های اندروید آسیب‌پذیر را مورد هدف قرار دهند.

همه نسخه‌های سیستم‌عامل گوگل از اندروید ۴٫۴٫۴ تا ۶٫۰٫۱ به این حمله مبتنی بر تصویر آسیب‌پذیر هستند، بجز آنهایی که دستگاه خود را به‌روز رسانی کرده‌اند.

محققین برای تست این آسیب‌پذیری، توانستند روی چندین گوشی هوشمند دارای اندروید ۴٫۲ از این آسیب‌پذیری بهره‌برداری کنند.

اگر شما در حال حاضر از یک سستم‌عامل اندروید به‌روز رسانی نشده استفاده می‌کنید، شما به حمله مبتنی بر تصویر آسیب‌پذیر هستید و توصیه می‌کنیم هر چه زودتر سیستم خود را به‌روز رسانی کنید.

منبع

http://thehackernews.com/2016/09/hack-android-phone-security.html