الجمعة، 26 نوفمبر، 2010

تم اكتشاف ثغرة في نظام Android

أحمد | 6:41 م |
  



ثغرة Data Stealing في نظام Android

أعلن Thomas Cannon في مدونته عن اكتشافه لثغرة في نظام Android تمكن المخترق من تحميل اي ملف مخزن في ذاكرة SD و بعض الملفات المخزنة في الهاتف عن طريق استدراج المستخدم للدخول الى موقع خبيث تتم برمجته مسبقا من قبل المخترق.

أسباب وجود الثغرة هي:
  • قيام متصفح Android بتحميل اي ملف موجود في الصفحة بشكل اوتوماتيكي دون اعلام المستخدم , مثلا لو كان لدينا ملف بأسم payload.html فسيتم تحميله بشكل اوتوماتيكي الى:
  • بالامكان برمجة كود خبيث باستخدام لغة Java بحيث يتم تشغيل payload بشكل اوتوماتيكي في المتصفح.
  • عند فتح ملف HTML من الجهاز, متصفح Android يقوم بتشغيل اي سكربت مبرمج بلغة Java بشكل اوتوماتيكي دون اعلام المستخدم.
  • في هذه الحالة سيتمكن السكربت من سرقة الملفات المحددة مسبقا من قبل المهاجم و من ثم ارسالها الى الموقع الخبيث.

المشكلة الوحيدة في الثغرة هي ضرورة معرفة و تحديد مسار الملف المراد سرقته , و لكن معظم البرامج تقوم بتسمية الملفات استنادا الى تنسيق معين, لذلك فبامكاننا التنبؤ باسم الملف المطلوب بسهولة.

من الجدير بالذكر أن الثغرة لا تمكننا من الحصول على صلاحيات root مما يعني اننا سنتمكن من قراءة الملفات المخزنة على ذاكرة SD فقط مع بعض الملفات الاخرى. 
لقد تم اعلام قسم الحماية في Android عن وجود هذه الثغرة , و قد اعلن الفريق بدوره عن نيتهم لاصلاح هذه الثغرة في الاصدار القادم من النظام Android 2.3.
حتى ذلك الحين ننصح المستخدمين بالاتي للمحافظة على معلوماتهم :
  • متابعة قسم التنبيهات أو notification area حيث يتم تسجيل الملفات التي تم تحميلها بشكل اوتوماتيكي و تأكد من عدم وجود اي ملف مثير للشبهات.
  • أو تعطيل JavaScript من المتصفح. بامكانك القيام بذلك من خلال ازالة اشارة الصح من Settings >> Enable JavaScript.
  • استخدام متصح اخر غير متصفح Android مثل Opera Mobile ﻷن Opera يسأل المستخدم قبل تحميل اي ملف و حتى لو تم اكتشاف ثعرة في البنامج فعملية تحديث برامج الـthird-party اسرع و اسهل من عملية تحديث نظام Android. (في رأيي هذا هو الحل الأنسب).
  • خيار اخر هو تعطيل ذاكرة SD و لكن هذا قد يؤثر على طبيعة استخدام الجهاز.

 لمشاهدة فديو استغلال الثغرة:

الحجم : 5.69  MB

حمل من هنا 


http://www.fileserve.com/file/Cy3EQHE


او 

http://freakshare.com/files/oaj4ness/android-hack.rar.html


ليست هناك تعليقات:

إرسال تعليق

Twitter Delicious Facebook Digg Stumbleupon Favorites More

Search