استغلال جديد لأخطر ثغرة في تاريخ أندرويد يمكن من خلاله اختراق أي هاتف عن بعد بسهولة في 10 ثوني

اعلان

اخر الاخبار

مقالات
مقالات

الخميس، 17 مارس 2016

6:18:00 م

تكبير النص تصغير النص أعادة للحجم الطبيعي

 استغلال جديدلثغرة StageFright المصاب بها الملايين من هواتف و أجهزة أندرويد يمكن لأي شخص من خلاله التجسس عليك بكل سهولة...

كشف مجموعة من الباحثين الأمنيين النقاب عن استغلال جديد للثغرة التي عرفت إعلاميا ب StageFright ، و التي أعتبرت أخطر ثغرة أكتشفت منذ ظهور نظام التشغيل اندرويد و التي كنا قد خصصنا تدوينة كاملة للتعريف بها و بمخاطرها و كيفية عملها تحت عنوان :
الجديد في الموضوع هو الإستغلال الجديد المكتشف للثغرة ، المسمى Metaphor و الذي تم نشره في ورقة بحثية  و تم تطبيقه بشكل عملي في فيديو موثق من طرف الباحثين . و الذي أظهر بشكل واضح سهولة تطبيق هذا الإستغلال الجديد حيث تمكنوا من خلاله من اختراق هاتف أندرويد  Nexus 5 في مدة لم تتجاوز 10 ثواني  . كما أن الإستغلال الجديد Metaphor حسب الورقة البحثية المنشورة قد تم تجربته بنجاح  على كل من هواتف  سامسونج جلاكسي S5 و LG G3 و HTC One .

وحسب الباحثين فإن الملايين من أجهزة أندرويد التي لم تستفد من التحديثات  الأمنية معرضة لتهديد الإستغلال الجديد لثغرة StageFright التي يمكنه و بكل سهولة من تجاوز دفاعاتها الأمنية المقدمة من نظام التشغيل أندرويد .

لمعرف تفاصيل أكثر حول ثغرة StageFright ، و كيفية معرفة إن كان جهازك أندرويد مصابا بها ، و كيفية حماية جهازك منها يرجى زيارة الموضوع المشار إليه في المقدمة .


كيف يعمل الإستغلال الجديد Metaphor لثغرة StageFright الخطيرة .

أما عن كيفية عمل الإستغلال الجديد Metaphor لثغرة Stagefright فقط و ضّحه الباحثون في المراحل التالية التي ستمكن في الأخير أي مخترق من اختراق أي هاتف أو جهاز أندرويد مصاب بهذه الثغرة :
1 . بداية يتم خداع الضحية للدخول الى صفحة ويب ملغمة تحتوي على ملف فيديو يعمل على تعطيل مكون mediaserver من داخل نظام اندرويد و إعادة تشغيل حالته الداخلية .
2 . بمجرد إعادة تشغيل مكون mediaserver لنفسه ، يعمل كود جافا سكريبت موجود في صفحة الويب الملغمة على إرسال معلومات حول جهاز الضحية الى خادم المهاجم .
3 . بعد ذلك يعمل خادم المهاجم على إرسال ملفات فيديو مخصصة الى جهاز الضحية المصاب ، مستغلة بذلك ثغرة StageFright  للحصول على معلومات أكثر حول الحالة الداخلية للجهاز .
4 . لتُرسل بعد ذلك كل تلك المعلومات الى الخادم المهاجم . الذي يعمل هذه المرة على تلغيم و تضمين ملف الفيديو المرسل بمالوير Malware بداخلها ، يتم تنفيذه و تفعيله بمجرد معالجة مكون StageFright له . الشيء الذي سيخول المهاجم كل الصلاحيات التي يحتاجها للتجسس على جهاز الضحية .


فيديو يوضح بشكل عمل و تطبيقي طريقة عمل الإستغلال الجديد Metaphor الذي لا يحتاج لإختراق أي جهاز اندرويد مصاب بثغرة StageFright الى أكثر من 10 ثواني :


إرسال تعليق

comments-tabs

disqus script

'