كشفت غوغل عن طريقة جديدة لاختراق الهواتف الذكية العاملة بنظام التشغيل أندرويد باستخدام ملفات PNG الضارة.
وجاء الكشف عن هذه المشكلة خلال الأسبوع الماضي عبر نشرة أمان أندرويد من غوغل.
وقالت الشركة في تنبيه إن هناك ثلاث نقاط ضعف حرجة اكتشفت مؤخراً في إطار عمل نظام التشغيل يمكن أن تسمح لمهاجم بعيد بتنفيذ تعليمات برمجية على جهاز أندرويد باستخدام ملف PNG مصمم بشكل خاص.
والخبر السار هو أن غوغل قد قامت بتصحيح المشاكل من خلال تحديث لنظام أندرويد، لكن قد يستغرق العديد من صانعي الأجهزة الخارجيين عدة أشهر لنشر تصحيحات الأمان على هواتفهم الخاصة، لذا، لن تكون محمياً حتى يتلقى جهازك الذي يعمل بنظام أندرويد تحديث شهر فبراير.
ويجب على المستخدمين الحذر أثناء فتح ملف صورة على الهاتف الذكي، حيث يمكن لملف PNG الضار، الذي تم استلامه من خلال تطبيق الدردشة أو البريد الإلكتروني، بدء تشغيل برامج ضارة على الجهاز بامتيازات عالية المستوى.
وتؤثر نقاط الضعف على ملايين الأجهزة التي تعمل بالإصدارات الحديثة من نظام تشغيل الهاتف المحمول من غوغل، بدءاً من أندرويد نوغا Android Nougat 7.0 إلى الإصدار أندرويد باي 9.0 Android Pie الحالي.
وتم تصحيح الثغرات الأمنية التي تم تحديدها على أنها CVE-2019-1986 و CVE-2019-1987 و CVE-2019-1988في مشروع أندرويد مفتوح المصدر AOSP بواسطة غوغل كجزء من تحديثات أمان أندرويد لشهر فبراير.
وبالرغم من أن مهندسي غوغل لم يكشفوا بعد عن أي تفاصيل تقنية توضح نقاط الضعف، إلا أن التحديثات تشير إلى إصلاح ثغرة في تجاوز سعة المخزن المؤقت وأخطاء في SkPngCodec وأخطاء في بعض المكونات التي تعرض صور PNG.
وقامت غوغل بتصحيح 42 نقطة ضعف أمنية في نظام تشغيل الهاتف المحمول، حيث تم تصنيف 11 منها على أنها حرجة، و 30 على أنها ذات درجة عالية من الخطر ونقطة ضعف واحدة معتدلة الخطر.
وأكدت شركة التكنولوجيا أنها لا تملك أي تقارير عن استغلال نشط أو إساءة استخدام لأي من نقاط الضعف المدرجة في نشرة الأمن الصادرة في شهر فبراير.
وقالت غوغل إنها أخبرت شركائها في نظام التشغيل أندرويد بجميع نقاط الضعف قبل شهر من نشرها، مضيفة أن تصحيحات التعليمات البرمجية الأصلية لهذه المشكلات سيتم إصدارها إلى مستودع مشروع نظام أندرويد مفتوح المصدر AOSP في غضون الـ 48 ساعة القادمة.
وجاء الكشف عن هذه المشكلة خلال الأسبوع الماضي عبر نشرة أمان أندرويد من غوغل.
وقالت الشركة في تنبيه إن هناك ثلاث نقاط ضعف حرجة اكتشفت مؤخراً في إطار عمل نظام التشغيل يمكن أن تسمح لمهاجم بعيد بتنفيذ تعليمات برمجية على جهاز أندرويد باستخدام ملف PNG مصمم بشكل خاص.
والخبر السار هو أن غوغل قد قامت بتصحيح المشاكل من خلال تحديث لنظام أندرويد، لكن قد يستغرق العديد من صانعي الأجهزة الخارجيين عدة أشهر لنشر تصحيحات الأمان على هواتفهم الخاصة، لذا، لن تكون محمياً حتى يتلقى جهازك الذي يعمل بنظام أندرويد تحديث شهر فبراير.
ويجب على المستخدمين الحذر أثناء فتح ملف صورة على الهاتف الذكي، حيث يمكن لملف PNG الضار، الذي تم استلامه من خلال تطبيق الدردشة أو البريد الإلكتروني، بدء تشغيل برامج ضارة على الجهاز بامتيازات عالية المستوى.
وتؤثر نقاط الضعف على ملايين الأجهزة التي تعمل بالإصدارات الحديثة من نظام تشغيل الهاتف المحمول من غوغل، بدءاً من أندرويد نوغا Android Nougat 7.0 إلى الإصدار أندرويد باي 9.0 Android Pie الحالي.
وتم تصحيح الثغرات الأمنية التي تم تحديدها على أنها CVE-2019-1986 و CVE-2019-1987 و CVE-2019-1988في مشروع أندرويد مفتوح المصدر AOSP بواسطة غوغل كجزء من تحديثات أمان أندرويد لشهر فبراير.
وبالرغم من أن مهندسي غوغل لم يكشفوا بعد عن أي تفاصيل تقنية توضح نقاط الضعف، إلا أن التحديثات تشير إلى إصلاح ثغرة في تجاوز سعة المخزن المؤقت وأخطاء في SkPngCodec وأخطاء في بعض المكونات التي تعرض صور PNG.
وقامت غوغل بتصحيح 42 نقطة ضعف أمنية في نظام تشغيل الهاتف المحمول، حيث تم تصنيف 11 منها على أنها حرجة، و 30 على أنها ذات درجة عالية من الخطر ونقطة ضعف واحدة معتدلة الخطر.
وأكدت شركة التكنولوجيا أنها لا تملك أي تقارير عن استغلال نشط أو إساءة استخدام لأي من نقاط الضعف المدرجة في نشرة الأمن الصادرة في شهر فبراير.
وقالت غوغل إنها أخبرت شركائها في نظام التشغيل أندرويد بجميع نقاط الضعف قبل شهر من نشرها، مضيفة أن تصحيحات التعليمات البرمجية الأصلية لهذه المشكلات سيتم إصدارها إلى مستودع مشروع نظام أندرويد مفتوح المصدر AOSP في غضون الـ 48 ساعة القادمة.