مايو 19
انتشرت في الأسابيع الماضية أخبار غير سارة لمحبي الرووت على هواتف أندرويد، حيث أكد الفريق المطور لخدمة بث المحتوى نيتفليكس Netflix أنه لن يكون بإمكان المستخدمين الذي يمتلكون صلاحيات رووت أن يستخدموا التطبيق على هواتفهم. كانت هذه الأخبار بمثابة ناقوس الخطر والذي تأكد فعليًا عبر التحديثات التي أطلقتها جوجل في مؤتمر المطورين Google I/O 2017 الأخير.
كشفت جوجل عن نسخةٍ جديدة من منصة جوجل بلاي للمطورين Google Play Developer Console والتي تتيح العديد من الأدوات والوسائل الخاصة بنشر التطبيق على متجر بلاي. أحد الإضافات الجديدة هي “كتالوغ الأجهزة Device Catalog” والتي تتيح للمطور جعل تطبيقه فعالًا بحسب العديد من المواصفات التي تمتلكها الأجهزة، مثل قدرة معينة لشريحة المعالجة أو مساحة ذاكرة عشوائية خاصة، أو ألا يكون مستخدم الجهاز يمتلك صلاحيات الجذر “رووت”.
هذه الخطوة مرتبطة بميزة SafetyNet والتي تتضمن مجموعة من المعايير الأمنية الخاصة برفع مستوى الحماية ضمن نظام أندرويد. بحسب التحديث الجديد لمنصة المطورين، سيكون بالإمكان اختيار ألا يعمل التطبيق على الأجهزة التي لا تتوافق مع SafetyNet، حيث تندرج أجهزة رووت تحت هذه الخانة. هذا الأمر يعني أن الخيار يعود للمطورين أنفسهم، حيث سيكون بإمكانهم حجب تطبيقاتهم عن هواتف أندرويد التي يمتلك أصحابها صلاحيات رووت.
بكل الأحوال، فإن هذا الأمر ليس بجديد، من ناحية العراقيل والصعوبات التي تضعها جوجل في وجه المستخدمين الذين يودون إجراء رووت لهواتفهم وتنصيب رومة معدلة. من الواضح أن هذا المسعى من جوجل سيستمر، وستتزايد كمية الصعوبات التي يتوجب بذلها في سبيل الحصول على هاتفٍ بصلاحياتٍ كاملة كما يريد محبو الرووت.
المصدر1، المصدر2
مارس 27
أعلنت شركة جوجل أنها تعمل على إطلاق تحديث أمني جديد وطارئ لأنظمة الأندرويد بهدف حل مشكلة برمجية قد تشكل تهديدًا على عددٍ كبير من الهواتف الذكية العاملة على نظام الأندرويد. ستقوم جوجل بإطلاق التحديث لأجهزة نيكسوس بشكلٍ مُباشر، كما أنها ستُوّفره للشركات المُصنّعة للهواتف الذكية كي تقوم بدورها بإرساله لهواتفها الذكية.
الثغرة تتعلق بالشيفرة المَصدرية لنواة لينوكس الذي يتم بناء نظام الأندرويد عليه، حيث تم اكتشاف الثغرة (التي تحمل الرمز CVE-2015-1805) الإصدارات التي تحمل الأرقام: 3.4, 3.10, 3.14 من نواة لينوكس. يُمكن استغلال هذه الثغرة عبر التطبيقات الخاصة بالمُستخدم الجذر Root Access والتي لا تتوافق مع آخر التحديثات الأمنية من جوجل، هذا يعني أن الآن ليس أفضل وقت كي تقوموا بالحصول على صلاحيات الجذر، نظرًا لوجود الكثير من التطبيقات الخاصة بهذه الإجرائية، والتي قد تُعرّضكم لخطر الاختراق.
تم تصنيف هذه الثغرة على أنها “حرجة Critical” حيث يُمثل هذا التصنيف أعلى درجة خطورة للثغرات البرمجية التي يمكن استغلالها، لأن الثغرات الموجودة ضمن هذا التصنيف تعني أنه يمكن تنفيذ شيفرات برمجية ضمن نواة نظام التشغيل نفسه، وستكون الأضرار غير قابلة للإصلاح أو الإزالة، بمعنى أنه سيتوجب على المُستخدم إزالة نظام الأندرويد كليًا وإعادة تنصيبه.
بشكلٍ أساسيّ، كان إصلاح هذه الثغرة ضمن خطة جوجل للتحديثات الأمنية الدورية التي تطلقها كل شهر، إلا أن بحثًا أمنيًا جديدًا أظهر إمكانية استغلال الثغرة على هاتف Nexus 5، وإمكانية استغلالها لتنفيذ شيفراتٍ برمجية عشوائية ضمن نواة النظام نفسها عبر التّطبيقات الخبيثة، ما يجعل المُستخدم عرضةً لطيفٍ واسع من التهديدات، مثل التجسس وسرقة معلوماته وحساباته الشخصية.
هواتف Nexus 5 و Nexus 6 مُعرّضة للخطر جراء هذه الثغرة، إلا أن أي هاتف أندرويد لا يمتلك التحديثات الأمنية الخاصة الجديدة سيكون مُعرّضًا للخطر في حال استخدام أحد التطبيقات التي تستغل الثغرة البرمجية. قامت جوجل بحجب هذه التطبيقات من متجر بلاي، وهي تقول أنه على المُخترقين أن يقنعوا المُستخدمين بتنصيب التطبيقات الخبيثة بشكلٍ يدويّ. بمعنى آخر، لا يُنصح حاليًا (ولا بأي وقتٍ آخر برأيي الشخصي) بتحميل أو تحديث أي تطبيق خارج متجر بلاي.
أهم نقطة تم ذكرها في التقرير الأمنيّ الجديد أن المُستخدم لن يكون مُهددًا أو بخطر إلا في حال قام بتنصيب أحد التطبيقات الخبيثة التي تعمل على استغلال الثغرة. هذا يعني أنه من الأفضل عدم تحميل وتنصيب أي تطبيقاتٍ خارج متجر بلاي، كونه المتجر الرسميّ من جوجل والذي يوفر أعلى درجة حماية وأمان للمستخدمين. بالإضافة لذلك، تنصح جوجل بتفعيل خيار Verify Apps من تطبيق Google Settings على الهاتف الذكي، ويمكن أن يتم ذلك عبر الخطوات التالية:
- النقر على تطبيق Google Settings (ليس نفس التطبيق الخاص بإعدادات الهاتف Settings).
- النقر على خيار Security.
- التأكد من تفعيل خيار Scan Device for Security Threats تحت بند Verify Apps.
من المنتظر وصول التحديثات الأمنية الجديدة لكل المستخدمين مع التحديثات الدورية التي تقوم الشركات المصنعة بإطلاقها. بهذه الأثناء، عليكم ألا تحاولوا تنصيب التطبيقات الخاصة باكتساب صلاحية الجذر Root، والتحقق من تفعيل خاصية Verify Apps ضمن إعدادات جوجل على الهاتف الذكي، وعدم تحديث أو تحميل التطبيقات خارج متجر بلاي. بشكلٍ عام، أعتقد أن هذه النصائح فعالة للاستخدام بكل الأوقات لضمان أعلى درجة حماية وأمان للمُستخدمين.
المصدر
أحدث التعليقات