مايكروسوفت تكتشف ثغرات أمنية فى تطبيقات أندرويد المثبتة مسبقًا

مايكروسوفت

كتبت هبة السيد

الثلاثاء، 31 مايو 2022 04:00 م

في تطور حديث تم اكتشاف بضع ثغرات شديدة الخطورة في إطار عمل للمحمول يخدم نظام التشغيل أندرويد. هذه الثغرات الأمنية عرضة للتأثير على ملايين الأشخاص وتعريضهم للخطر، تم الكشف عن هذه في إطار عمل تستخدمه تطبيقات نظام أندرويد المثبتة مسبقًا.

تم الكشف عن الثغرة الأمنية بواسطة Microsoft 365 Developer Research Team في سبتمبر 2021. ويشير إلى أنه كان من الممكن استخدام هذه الخلل لشن هجمات خطيرة على الأجهزة المستهدفة والمستخدمين، سيؤدي ذلك إلى سرقة البيانات والاستيلاء الجزئي على الجهاز.

ثغرة أمنية في Android

وفقًا لمدونة مايكروسوفت، فقد تم الكشف عن العيوب عالية الخطورة في إطار عمل الهاتف المحمول الذي تملكه MCE Systems ويستخدمه العديد من مزودي خدمات الهاتف المحمول الكبار في تطبيقات نظام Android المثبتة مسبقًا. يمكن أن يؤدي ذلك إلى تعريض ملايين المستخدمين للهجمات المحلية والبعيدة.

بالانتقال إلى منشور المدونة، فإن هذه الثغرات الأمنية هي CVE-2021-42598 و CVE-2021-42599 و CVE-2021-42600 و CVE-2921-42601، أيضًا تم تصنيفها على أنها درجات أمان تتراوح من 7.0 إلى 8.9 من 10. الآن، تم إصلاح المشكلات بواسطة المطور الإسرائيلي MCE Systems. كان للإطار أذونات وصول واسعة، بما في ذلك الكاميرا والصوت والطاقة وبيانات المستشعر والموقع والتخزين وغيرها، وفقًا لـ Microsoft ، قد يسمح هذا للمهاجمين بزرع أبواب خلفية ثابتة والتحكم في الأجهزة المتأثرة بحسب gizbot.

نتائج مايكروسوفت

ذكرت النتائج التي اكتشفتها شركة مايكروسوفت أن إطار عمل الأجهزة المحمولة يتضمن خدمة يمكن الاستفادة منها للسماح للخصوم بزرع باب خلفي دائم أو التحكم بشكل كبير في الجهاز.

فرق الهندسة والأمن في مايكروسوفت وMCE Systems للتخفيف من هذه الثغرات الأمنية. قام الأخير بإصلاح المشكلة عن طريق إرسال تحديث عاجل لإطار العمل إلى مقدمي الخدمة المتأثرين وإصدار إصلاحات للمشكلات.

وأثناء الإبلاغ عن المشكلة لم تكن هناك تقارير تدعي أنه تم استغلال هذه الثغرات الأمنية في البرية.

في أعقاب هذا التقرير، قامت جوجل أيضًا بعرضها للكشف عن أنها قامت بتحديث خدمة Play Protect لتغطية نواقل الهجوم. بالإضافة إلى ذلك قد يكون هناك المزيد من الثغرات الأمنية غير المكتشفة التي قد تؤثر على المستخدمين، بما في ذلك محلات تصليح الهواتف المحمولة التي كان من الممكن أن تثبت تطبيقات ضعيفة على نقاط نهاية الأشخاص.