تم العام الماضي اكتشاف إحدى أهم الثغرات الخاصة بنظام الأندرويد، وهي ثغرة Stagefright التي تم استغلالها من أجل التحكم بهواتف الأندرويد والتّجسس عليها عبر استخدام كاميرا الهاتف نفسه أو الميكروفون الخاص به، وقد بدا وكأن المشكلة قد تم حلها عبر التّحديثات الأمنية من جوجل. اليوم، تعود المُشكلة من جديد عبر برمجيةٍ خبيثة جديدة تم تسميتها ميتافور Metaphor والتي تعمل على استغلال نفس الثّغرة لضرب هواتف الأندرويد.
عودة للماضي: ثغرة Stagefright
في منتصف العام الماضي، تم الإعلان عن اكتشاف أخطر تهديد لهواتف الأندرويد عبر ثغرة Stagefright. أساسًا، Stagefright عبارة عن أحد مكاتب تشغيل الوسائط المُتعددة الموجودة ضمن بنية نظام الأندرويد وهي مكتوبة بلغة ++C.
تم استغلال الشيفرة الخاصة بمكتبة Stagefright من أجل تضمين برمجياتٍ خبيثة ضمن رسائل الوساط المتعددة MMS التي يتم إرسالها إلى الهواتف الذكية، وتكمن خطورتها بأنها ستعمل حتى لو يتم تشغيل الفيديو أو الصورة التي تم إرسالها. قامت جوجل بإرسال تحديثٍ من أجل إصلاح الثغرة بعد أن تمكنت شركة Zimperium من اكتشافها، كما أنه كان يمكن حلها عبر تعطيل ميزة التّحميل التلقائي Auto Retrieve (أو الاسترداد التلقائيّ) لملفات الوسائط المُتعددة.
تم أيضًا اكتشاف ثغرة برمجية أخرى تم تسميتها Stagefright 2.0 في شهر أكتوبر/تشرين الأول الماضي، والتي تعتمد على تضمين ملفات MP3 و MP4 ببرمجياتٍ خبيثة تسمح للمُخترقين بتنفيذ مَجموعةٍ من الشيفرات على الهواتف المُستهدفة عن بعد، وقد أظهرت التقارير في ذلك الوقت أن 95% من أجهزة الأندرويد كانت بخطر بفضل ثغرتي Stagefright الأولى والثانية، ما جعلها أحد أخطر الثغرات البرمجية بتاريخ الأندرويد.
ميتافور Metaphor: الثغرة لا تزال موجودة
بعد أن ظن الجميع أن مُشكلة ثغرة Stagefright قد انتهت، قامت شركة NorthBit بنشر تقريرٍ جديد لبرمجيةٍ خبيثة تم تسميتها “ميتافور Metaphor” والتي تستغل الثغرة السابقة لاستهداف هواتف الأندرويد والتجسس على أصحابها والتجسس عليهم.
كيف تعمل الثغرة الجديدة؟ وضح باحثو شركة NorthBit كيف يمكن لذلك أن يحصل عبر الخطوات التالية:
- خدع المُستخدم ودفعه لفتح صفحة ويب خبيثة تتضمن ملف فيديو خبيث يعمل على اختراق مُخدّم الوسائط المُتعددة لنظام الأندرويد Android Mediaserver.
- بعد القيام باختراق مُخدّم الوسائط المتعددة، ستقوم مكانب JavaScript المُضمنة بصفحة الويب بإرسال معلوماتٍ حول الجهاز الضحية، ويتم استقبال هذه المعلومات عند طرف المُخترق.
- بعد وصول المعلومات الأساسية الخاصة بهاتف الضحية، سيقوم المخترق من المخدم الخاص به بإرسال فيديو إلى صفحة الويب الخبيثة (والتي فتحها المستخدم بالأصل) ليستهدف ثغرة Stagefright على هاتف الضحية وذلك من أجل الحصول على المزيد من المعلومات حول حالة الجهاز الداخلية.
- أخيرًا، يتم استخدام المعلومات الأخيرة من أجل توليد فيديو آخر وإرساله من قبل مخدم المخترق بحيث يتضمن آخر فيديو كمية كبيرة من البرمجيات الخبيثة، والتي تعمل على استغلال قدرات الهاتف الذكي للتجسس على صاحبه.
لتوضيح كيفية عمل هذه الثغرة وللتأكيد على أهميتها وخطورتها، قام باحثو الشركة بتصوير فيديو يظهر كيفية اختراق الهواتف الذكية اعتمادًا عليها. الفيديو يظهر اختراق هاتف Nexus 5 كما أنهم قاموا بتجريب الطريقة أيضًا على هواتف Galaxy S5, LG G3, HTC One.
وفقًا للباحثين، فإن البرمجيات الخبيثة الموجودة في فيروس “ميتافور” قادرة على استهداف ثغرة CVE-2015-3864 والتي تسمح بتجاوز طبقة حماية الذواكر ASLR في نظام الأندرويد.
الثغرة البرمجية الجديدة قادرة على استهداف هواتف الأندرويد من النسخ 2.2 وحتى 4.0 وكذلك نسخ الأندرويد من 5.0 وحتى 5.1، وبالتالي فهنالك ملايين هواتف الأندرويد حول العالم مهددة بالاختراق والتجسس على أصحابها إن لم تقم جوجل بإطلاق تحديثٍ أمنيّ جديد يتضمن حلول تسد هذه الثغرات.
الحل: كيف يُمكن تجنّب الوقوع كضحية؟
برمجية ميتافور ذكية وخطيرة جدًا، كونها تستهدف تجاوز طبقات الحماية الخاصة بنظام الأندرويد بكفاءةٍ وفعالية، وتعتمد على استغلال ثغراتٍ سابقة مثل Stagefright.
بدايةً، يُمكنكم تحميل تطبيق خاص للكشف عن وجود ثغرة Stagefright على هواتفكم الذكية من متجر بلاي، والذي أطلقته شركة Zimperium العام الماضي. التطبيق لن يحل المُشكلة، ولكنه سيخبركم بوجود الثغرة، ويُمكنكم تجنبها عبر تعطيل ميزة “التّحميل التلقائي” لرسائل الوسائط المُتعددة.
ثانيًا، وبالنسبة للثغرة الجديدة، فإن الحل الأساسيّ سيكون عبر تحديثٍ أمنيّ من جوجل ولأكبر عددٍ ممكن من نسخ الأندرويد، ففي حين أن نسخ الأندرويد من 4.1 وصولًا حتى 5.0 لا تُعاني من هذه المشكلة بالإضافة لنسخ أندرويد 6.0، يوجد عدد كبير من الهواتف والأجهزة التي تعتمد على نسخ أخرى من الأندرويد، ما يضعها جميعًا بخطرٍ كبير.
على افتراض أن جوجل لم ترسل التحديث، أو تأخرت به، فإن النصيحة الحالية هي نفس النصيحة الأساسية المُتعلقة بالبرمجيات الخبيثة وفيروسات التجسس: لا تقوموا بالدخول لصفحات ويب غير موثوقة، ولا تقوموا بالضغط على الروابط إن لم تتأكدوا من مصدرها، ولا تقوموا بفتح الروابط والصور التي تصل بريدكم الإلكترونيّ في حال كانت من جهاتٍ غير معروفة أو مجهولة. معظم عمليات الاختراق تعتمد على “جهل المُستخدم” أكثر من اعتمادها على ضعف نظام التشغيل نفسه، وحتى فيروس ميتافور الأخير، وعلى الرغم من خطورته وذكائه، إلا أنه يتطلب أن يقوم المستخدم بالدخول إلى صفحة ويب تتضمن البرمجيات الخبيثة.
بكل الأحوال، سنعمل دومًا على متابعة هذه الأخبار لإبقائكم على اطلاعٍ بما يجب أن تقوموا به لتفادي مثل هكذا هجمات خبيثة.
المعلومات التفصيلية الكاملة لفيروس ميتافور وكيفية عمله وضرره على أجهزة الأندرويد موجودة ضمن البحث الذي أصدرته شركة NorthBit: اضغط هنا.
أحدث التعليقات