نشرت شركة الأمان Oversecured ، التي اكتشفت مؤخرا سبع ثغرات أمنية في تطبيقات سامسونغ أثرت على هواتفها ، معلومات تكشف عن ثغرة خطيرة أخرى ، لكن هذه المرة في تطبيق طورته غوغل وتم تنزيله على أندرويد أكثر من 5 مليارات مرة.
ذكر سيرجي توشين ، مؤسس Oversecured ، في منشور أن هذه الثغرة الأمنية سمحت للمتسللين بالحصول على بيانات المستخدم السرية مثل رسائل البريد الإلكتروني في الجيميل ، والوصول إلى جهات الاتصال ، والرسائل النصية ، وسجل المكالمات ، وسجل البحث. وبالمثل ، يمكن للقراصنة الاستفادة من الهجمات لتشغيل الكاميرا والميكروفون وإجراء مكالمات واستقبالها دون علم المستخدم.
ذكر توشين أن المشكلة كانت في التحميل الديناميكي للكود من المكتبات أو الملفات الأصلية. في الواقع ، حث الباحث المطورين على عدم استخدام تحميل التعليمات البرمجية الديناميكي ، لأنه ممارسة غير آمنة بها نقاط ضعف باستمرار. في الواقع ، اكتشف ثغرة أمنية مماثلة في تطبيق تيكتوك للأندرويد منذ فترة طويلة بسبب هذه العملية.
إذا تمكن المهاجم من استغلال الثغرة الأمنية ، فيمكنه خداع تطبيق غوغل لأخذ تعليمات برمجية ضارة يتم تحميلها من تطبيق آخر ديناميكيًا ، وبالتالي الوصول إلى بيانات المستخدم.
أبلغ سيرجي توشين غوغل عن الثغرة الأمنية في فبراير من هذا العام ، وقامت شركة غوغب بإصلاح الخلل من خلال تحديث أمني في مايو الماضي ، لذا فإن الطريقة الوحيدة لتجنب التعرض لهذا الخلل هي عن طريق تثبيت أحدث إصدار من تطبيق غوغل .
دفعت غوغل 5000 دولار إلى سيرجي توشين مقابل الاكتشاف كجزء من برنامج مكافآت الثغرات الأمنية.
ليست هناك تعليقات:
إرسال تعليق