ጃን 21, 2016
ልክ ከጥቂት ቀናት በፊት, Perception Point, የእስራኢቱ የሳይበር ደህንነት ኩባንያ, በ Linux ኮርነል ውስጥ እጅግ ዘመናዊ የሆኑ የአገልገሮች, የፒኮፕ እና በተለይም በ Android የተጎበኙ ተንቀሳቃሽ መሳሪያዎች ላይ የዜሮ ተጋላጭነትን አግኝቷል. ጠላፊው ከዚህ ተጋላጭነት ተጠቃሚ ለመሆን ይፈልጋል, በመሣሪያ ላይ የባለ-ደረጃ ልዩ መብቶችን ያገኛል, እንዲሁም ያልተፈቀደ የውሂብ መዳረሻ ወይም በራሱ ፈቃድ ፍቃዱን ኮድን ይፈፅማል.
ስለ ሊነክስነር ጥቁር ተጨማሪ
ባለጉዳዮቹ እንደሚሉት የዚህ ዋነኛ መንስኤ ዋነኛ የሊነል ንኡስ ኮርነል ነው , ይህም በአገልጋይ, በፒ.ቪ እና በ Android መሳሪያዎች ላይ ተመሳሳይ ነው. ይህ እሴት CVE-2016-0728 ተብሎ ከተሰየመ ይህ ችግር ከሁሉም በ Android የተጎለበቱ መሳሪያዎች ውስጥ ከ 60 በመቶ በላይ ተፅዕኖ እንዳለው ይታመናል. በወቅቱ ይህ ጉድለት መጀመሪያ ላይ በ 2012 (እ.አ.አ.) በሊነክስ ስሪት 3.8 ላይ እና በ 32 ቢት እና በ 64 ቢት ሊኑክስ ላይ የተመሰረተ ስርዓት ተገኝቷል.
እዚህ ላይ የሚረብሻው ነገር ተጋላጭነቱ ለ 3 ዓመታት ያህል የቆየ ስለሆነ እና ጠላፊዎች በ Linux-run servers, ፒሲዎች, Android እና ሌሎች የተካተቱ መሣሪያዎች ላይ ያልተፈቀደ ቁጥጥር እንዲያገኙ ያስገድዳቸዋል . በመሰረቱ የሚከሰተው ከከርነ ቁልፍ ቁልፍ ተቋም ሲሆን በአካባቢያዊ ተጠቃሚ ስር ያሉ መተግበሪያዎችን በካሬል ውስጥ ኮዶችን እንዲያሄዱ ይፈቅዳል. ይህ ማለት ተጋላጭነቱ የተጠቃሚዎችን ሚስጥራዊነት ጨምሮ, የማረጋገጫ እና የኢንክሪፕሽን ቁልፍን ጨምሮ, ለአደጋ የተጋለጡ ናቸው.
እንዴት ለ Android ማስፈራሪያ እንደሚሆን
ይሄ በቀላሉ ሊጋለጥ የሚችልበት ነገር ዋነኛው ለጉዳዩ አስጊ (ARM) ጨምሮ ሁሉንም የስነ-ሕዋሳት ላይ ተጽእኖ ያደርጋል. ይሄ በራስ-ሰር, Android 4.4 KitKat እና ከዚያ በኋላ ያሉ ሁሉም የ Android መሣሪያዎች መኖራቸውን እንዲያቆሙ በራስ-ሰር ያምናሉ. በአሁኑ ጊዜ ይህ ከሁሉም Android መሳሪያዎች ውስጥ ወደ 70 በመቶ የሚሆነውን ያካትታል.
የ Android OS ቀደም ሲል በከፍተኛ ደረጃ መበታተን እና በመዘግየቱ ላይ ይታወቃል. Google የደህንነት ጥገናዎችን ከመሣሪያ አምራቾች ጋር ያገናኛል, ከዚያም ተለያይተው ይተገብራቸዋል . ኩባንያው ከሚመለከታቸው የሞባይል አጓጓዦች ጋር በመተባበር ሌሎች ዝማኔዎችን ያሰራጫል. ጉዳዮችን የበለጠ ለማስጨመር ከአብዛኞቹ መሳሪያዎች ውስጥ ለ 18 ወራት ብቻ የሶፍትዌርን ድጋፍ የሚቀበል ሲሆን ከዚህ በኋላ ምንም ተጨማሪ ዝማኔዎች ወይም ቅርጫቶች አያገኙም. ይህ ማለት ብዙ የመሣሪያ ተጠቃሚዎች, በተለይ የድሮ Android መሣሪያዎችን የሚጠቀሙት, የቅርብ ጊዜ ዝማኔዎችን እና የሳንካ ጥገናዎችን ለማግኘት አይችሉም.
ይህ ክስተት ተጠቃሚዎች የቆዩ የ Android ስሪቶች ከአሁን በኋላ ደህንነታቸውን እንደማይጠቀሙ እና ሁልጊዜ የቅርብ ጊዜ የደህንነት ባህሪያትን እና ሌሎች ተግባራትን ለመለማመድ መሣሪያዎቻቸውን በተደጋጋሚ ማሻሻል እንዳለባቸው ለተጠቃሚዎች የሚጠቁም ይመስላል. ያ ደግሞ ለችግሩ ፋይዳ የሌለው መፍትሄ ይሆናል - ሁሉም ሰው በሁለት ዓመታት ውስጥ አንድ ጊዜ ስማርትፎን ወይም ጡባዊውን ለመቀየር ፈቃደኛ አይሆንም.
እስካሁን ድረስ የሞባይል ኢንዱስትሪዎች የተወሰነ የተራቀቀ ለተለመደ ተንኮል አዘል ዌር የተጋለጡ ናቸው. እስካሁን ድረስ ምንም ዓይነት የጠለፋ ጥቃቶች ለተጠቃሚዎች እውነተኛ እና ከፍተኛ ጠቀሜታ ፈጥሯል. ሆኖም ግን, እውነታው ግን Android ለተንኮል አዘል ዒላማው ብቻ ነው, እና አንድ ሰው አሁን ባለው የተጋላጭነት አደጋ ላይ ከባድ ጥቃትን ከመጀመራቸው በፊት ሊሆን ይችላል.
ምን ሊሥሊን እና Google ሊያደርጉት ዕቅድ አላቸው
እንደ እድል ሆኖ, ተጋላጭነቱ እስካለ ድረስ, ምንም የጠለፋ ጥቃቶች ገና አልተታዩም. ይሁን እንጂ የደህንነት ባለሙያዎች በቅርብ ጊዜ ውስጥ ይህ ብልሽት በተደጋጋሚ ጥቅም ላይ እንደዋለ ለማወቅ የበለጠ ጥልቀት እየቆፈሩ ነው. የሊኑክስ እና የዝሆ ሃሰተኛ ደህንነት ቡድኖች የተዛመዱ ቅርጫቶችን ለመምታት እየሰሩ ናቸው - በዚህ ሳምንት መጨረሻ የሚገኙ ናቸው. ይሁን እንጂ ቢያንስ ለተወሰነ ጊዜ ለአደጋ የተጋለጡ አንዳንድ ስርዓቶች ሊኖሩ ይችላሉ.
ጉድለቶች በ Android ኮድ መሰረታዊ ስርዓተ-ጥለቶች ላይ ተጣብቀው በሚሆኑበት ጊዜ Google በፍጥነት እና ግልጽ የሆነ መልስ ሊሰጥ አይችልም. ይህ ስነ-ምህዳር, ክፍት ምንጭ እንደመሆኑ የዕደ-ስረዓቱን (አክቲቭ) ወደ ደንበኞቻቸው ለማከል እና ለማሰራጨት የመሣሪያ አምራቾች እና ገንቢዎች ይሆናል. እስከዚያ ድረስ ግን Google እንደ ሁልጊዜ, ለእሱ የ Nexus የ Android መሳሪያዎች ወርሃዊ ዝማኔዎችን እና የሳንካ ጥገናዎችን ማየቱን ይቀጥላል. ታላቁ ሞዴሎቹ በእሱ የመስመር ላይ ሱቅ ውስጥ ከተሸጠበት ቀን በኋላ ቢያንስ ለሁለት አመት ለመደገፍ ታቅዷል .