تقرير: ثغرة Stagefright تعود من جديد وهذه المرة عبر ثغرة “ميتافور”

تم العام الماضي اكتشاف إحدى أهم الثغرات الخاصة بنظام الأندرويد، وهي ثغرة Stagefright التي تم استغلالها من أجل التحكم بهواتف الأندرويد والتّجسس عليها عبر استخدام كاميرا الهاتف نفسه أو الميكروفون الخاص به، وقد بدا وكأن المشكلة قد تم حلها عبر التّحديثات الأمنية من جوجل. اليوم، تعود المُشكلة من جديد، عبر ثغرةٍ جديدة تم تسميتها ميتافور Metaphor والتي تعمل على استغلال نفس الثّغرة السابقة لضرب هواتف الأندرويد.

عودة للماضي: ثغرة Stagefright

في منتصف العام الماضي، تم الإعلان عن اكتشاف أخطر تهديد لهواتف الأندرويد عبر ثغرة Stagefright. أساسًا، Stagefright عبارة عن أحد مكاتب تشغيل الوسائط المُتعددة الموجودة ضمن بنية نظام الأندرويد وهي مكتوبة بلغة ++C.

تم استغلال الشيفرة الخاصة بمكتبة Stagefright من أجل تضمين برمجياتٍ خبيثة ضمن رسائل الوساط المتعددة MMS التي يتم إرسالها إلى الهواتف الذكية، وتكمن خطورتها بأنها ستعمل حتى لو يتم تشغيل الفيديو أو الصورة التي تم إرسالها. قامت جوجل بإرسال تحديثٍ من أجل إصلاح الثغرة بعد أن تمكنت شركة Zimperium من اكتشافها، كما أنه كان يمكن حلها عبر تعطيل ميزة التّحميل التلقائي Auto Retrieve (أو الاسترداد التلقائيّ) لملفات الوسائط المُتعددة.

تم أيضًا اكتشاف ثغرة برمجية أخرى تم تسميتها Stagefright 2.0 في شهر أكتوبر/تشرين الأول الماضي، والتي تعتمد على تضمين ملفات MP3 و MP4 ببرمجياتٍ خبيثة تسمح للمُخترقين بتنفيذ مَجموعةٍ من الشيفرات على الهواتف المُستهدفة عن بعد، وقد أظهرت التقارير في ذلك الوقت أن 95% من أجهزة الأندرويد كانت بخطر بفضل ثغرتي Stagefright الأولى والثانية، ما جعلها أحد أخطر الثغرات البرمجية بتاريخ الأندرويد.

ميتافور Metaphor: الثغرة لا تزال موجودة

بعد أن ظن الجميع أن مُشكلة ثغرة Stagefright قد انتهت، قامت شركة NorthBit بنشر تقريرٍ جديد لبرمجيةٍ خبيثة تم تسميتها “ميتافور Metaphor” والتي تستغل الثغرة السابقة لاستهداف هواتف الأندرويد والتجسس على أصحابها والتجسس عليهم.

كيف تعمل الثغرة الجديدة؟ وضح باحثو شركة NorthBit كيف يمكن لذلك أن يحصل عبر الخطوات التالية:

  • خدع المُستخدم ودفعه لفتح صفحة ويب خبيثة تتضمن ملف فيديو خبيث يعمل على اختراق مُخدّم الوسائط المُتعددة لنظام الأندرويد Android Mediaserver.
  • بعد القيام باختراق مُخدّم الوسائط المتعددة، ستقوم مكانب JavaScript المُضمنة بصفحة الويب بإرسال معلوماتٍ حول الجهاز الضحية، ويتم استقبال هذه المعلومات عند طرف المُخترق.
  • بعد وصول المعلومات الأساسية الخاصة بهاتف الضحية، سيقوم المخترق من المخدم الخاص به بإرسال فيديو إلى صفحة الويب الخبيثة (والتي فتحها المستخدم بالأصل) ليستهدف ثغرة Stagefright على هاتف الضحية وذلك من أجل الحصول على المزيد من المعلومات حول حالة الجهاز الداخلية.
  • أخيرًا، يتم استخدام المعلومات الأخيرة من أجل توليد فيديو آخر وإرساله من قبل مخدم المخترق بحيث يتضمن آخر فيديو كمية كبيرة من البرمجيات الخبيثة، والتي تعمل على استغلال قدرات الهاتف الذكي للتجسس على صاحبه.

لتوضيح كيفية عمل هذه الثغرة وللتأكيد على أهميتها وخطورتها، قام باحثو الشركة بتصوير فيديو يظهر كيفية اختراق الهواتف الذكية اعتمادًا عليها. الفيديو يظهر اختراق هاتف Nexus 5 كما أنهم قاموا بتجريب الطريقة أيضًا على هواتف Galaxy S5, LG G3, HTC One.

وفقًا للباحثين، فإن البرمجيات الخبيثة الموجودة في فيروس “ميتافور” قادرة على استهداف ثغرة  CVE-2015-3864 والتي تسمح بتجاوز طبقة حماية الذواكر ASLR في نظام الأندرويد.

الثغرة البرمجية الجديدة قادرة على استهداف هواتف الأندرويد من النسخ 2.2 وحتى 4.0 وكذلك نسخ الأندرويد من 5.0 وحتى 5.1، وبالتالي فهنالك ملايين هواتف الأندرويد حول العالم مهددة بالاختراق والتجسس على أصحابها إن لم تقم جوجل بإطلاق تحديثٍ أمنيّ جديد يتضمن حلول تسد هذه الثغرات.

الحل: كيف يُمكن تجنّب الوقوع كضحية؟ 

برمجية ميتافور ذكية وخطيرة جدًا، كونها تستهدف تجاوز طبقات الحماية الخاصة بنظام الأندرويد بكفاءةٍ وفعالية، وتعتمد على استغلال ثغراتٍ سابقة مثل Stagefright.

بدايةً، يُمكنكم تحميل تطبيق خاص للكشف عن وجود ثغرة Stagefright على هواتفكم الذكية من متجر بلاي، والذي أطلقته شركة Zimperium العام الماضي. التطبيق لن يحل المُشكلة، ولكنه سيخبركم بوجود الثغرة، ويُمكنكم تجنبها عبر تعطيل ميزة “التّحميل التلقائي” لرسائل الوسائط المُتعددة.

ثانيًا، وبالنسبة للثغرة الجديدة، فإن الحل الأساسيّ سيكون عبر تحديثٍ أمنيّ من جوجل ولأكبر عددٍ ممكن من نسخ الأندرويد، ففي حين أن نسخ الأندرويد من 4.1 وصولًا حتى 5.0 لا تُعاني من هذه المشكلة بالإضافة لنسخ أندرويد 6.0، يوجد عدد كبير من الهواتف والأجهزة التي تعتمد على نسخ أخرى من الأندرويد، ما يضعها جميعًا بخطرٍ كبير.

على افتراض أن جوجل لم ترسل التحديث، أو تأخرت به، فإن النصيحة الحالية هي نفس النصيحة الأساسية المُتعلقة بالبرمجيات الخبيثة وفيروسات التجسس: لا تقوموا بالدخول لصفحات ويب غير موثوقة، ولا تقوموا بالضغط على الروابط إن لم تتأكدوا من مصدرها، ولا تقوموا بفتح الروابط والصور التي تصل بريدكم الإلكترونيّ في حال كانت من جهاتٍ غير معروفة أو مجهولة. معظم عمليات الاختراق تعتمد على “جهل المُستخدم” أكثر من اعتمادها على ضعف نظام التشغيل نفسه، وحتى فيروس ميتافور الأخير، وعلى الرغم من خطورته وذكائه، إلا أنه يتطلب أن يقوم المستخدم بالدخول إلى صفحة ويب تتضمن البرمجيات الخبيثة.

بكل الأحوال، سنعمل دومًا على متابعة هذه الأخبار لإبقائكم على اطلاعٍ بما يجب أن تقوموا به لتفادي مثل هكذا هجمات خبيثة.

المعلومات التفصيلية الكاملة لفيروس ميتافور وكيفية عمله وضرره على أجهزة الأندرويد موجودة ضمن البحث الذي أصدرته شركة NorthBit: اضغط هنا.

ماريو رحال

مهندس طبي. مهتم بكل ما يتعلق بالتعلم وتطوير القدرات الذاتية. مهووس بالتقنية، ومدير موقع عالم الإلكترون التعليمي التقني.

التعليقات: 17 ضع تعليقك

ѦՊԻ يقول:

أرجو استبدال “غباء المستخدم” بـ “جهل المستخدم” كتعبير أدق .
بالنسبة للثغرة فهي كغيرها تستمد قوتها من أهم عيوب آندرويد وهو البطء الشديد في التحديثات والواضح جدا أن هذا العيب لن يتم حله أبدا ما دامت جوجل لا تستطيع السيطرة قليلا على هذه الفوضى .

ماريو رحال يقول:

تم تعديل الجملة، وأعتذر إن بدت مسيئة.

hihoo يقول:

بعد التحية و السلام
أعتقد أن هناك لبس في موضوع الإستغلال الجديد لثغرة StageFright الذي أسماه مكتشفوه ب Metaphor بالنسبة للأخ المحترم صاحب المقال .
فالأمر لا يتعلق ببرمجية خبيثة أو فيروس كما أشار الأخ ، و إنما بتطبيق و استغلال “implemantation” لثغرة StageFright التي أكتشفت منذ مدة و أعتبرت اخطر ثغرة مكتشفة منذ ظهور نظام التشغيل أندرويد …. و الفرق شاسع بين الإستغلال و البرمجية ..
تصويب : كما تجدر الإشارة إلا أن النسخة 5.0 هي أيضا مشمولة بإمكانية استغلال Metaphor عليها .
http://www.formatika.net/2016/03/Metaphor-exploit-danger.html

ولك مني أخي كل الإحترام

hihoo يقول:

التعليق رقم 2 . بعد أن تم حذف تعليقي السابق ههههههه
أعتقد أن هناك لبس في موضوع الإستغلال الجديد لثغرة StageFright الذي أسماه مكتشفوه ب Metaphor بالنسبة للأخ المحترم صاحب المقال .
فالأمر لا يتعلق ببرمجية خبيثة أو فيروس كما أشار الأخ ، و إنما بتطبيق و استغلال “implemantation” لثغرة StageFright التي أكتشفت منذ مدة و أعتبرت اخطر ثغرة مكتشفة منذ ظهور نظام التشغيل أندرويد …. و الفرق شاسع بين الإستغلال و البرمجية ..
http://www.formatika.net/2016/03/Metaphor-exploit-danger.html
الإختلاف لا يفسد للود قضية

offf يقول:

تعليقك لم يحذف على ما يبدوا أن هناك خطأ عندك

Mo يقول:

اتفق مع الأخ AMR مشكلة الأندرويد التحديثات, جوجل قد بدأت بتجربة النسخة الجديدة Android N وهاتفي جالاكسي إس 6 ايدج بلس ما زال يعمل بنسخة 5.1 فعلا شيء لا يحتمل. لابد أن يكون هناك جدول زمني محدد لوصول التحديثات ويكون بأسرع وقت, وان تلزم الشركات وبالاخص شركات الاتصالات.

بدر يقول:

أشكركم على توعية رواد الموقع.

المستشعر يقول:

لدي نوت 5 تم التحديث ل اندرويد 6

ISCO يقول:

السلام عليكم :
على قدر معرفتي ان نظام الاندرويد لا يمكن اصابته بالفيروسات لإعتماده على نواة اللينكس , اذا ما هي هذه البرمجيات وهل نظام الاندرويد فعلا لا يمكن اصابته بالفيروسات ؟؟

ѦՊԻ يقول:

لا يوجد نظام آمن 100%

My life يقول:

عادة المخترق
هو المبرمج الموظف بنفس الشركة

لانه هو الشخص الذي يعرف خبايا التحديثات للشركة نفسها

ѦՊԻ يقول:

ليس بالضرورة … لو اكتشف أحد المبرمجين ثغرة في أحد منتجات شركته فبالطبع لن يخبر أحدا سوى رؤسائه بالشركة للعمل على ترقيعها .. لكن معظم الثغرات يتم الكشف عنها بواسطة شركات أمن مستقلة (مثل كاسبر سكاي لاب)

نواة لينوكس آمنة جدًا، لكن الثغرات غالبًا ما تكون موجودة في الطبقات البرمجية التي تأتي فوق نواة لينوكس وليس ضمن النواة نفسها.

هو يقول:

أخي أنس أتمنى تصحيح العنوان..
ففي عالم الهواتف كأندرويد وآي أو إس لا وجود للفايروسات..
هذه برمجيات خبيثة Malware تستغل أخطاء وثغرات معينة..
لكن تعريف الفايرس لا ينطبق عليها أبدا..
لا وجود للفايروسات في أندرويد..

وفقكم الله

Hasan يقول:

ذكرتم كيف يمكن تجنب الوقوع كضحية،
ولكن ماذا لو قد وقعت ضحية بالفعل؟ كيف أعلم وماذا أفعل؟
خصوصا وأن هاتفي سامسونج قديم، وآخر تحديث له هو 4.4.2

ماريو رحال يقول:

ضمن المقال ذكرنا رابطًا للتطبيق الذي يكشف عن وجود الثغرة البرمجية ضمن هاتفك الذكي، يُمكنك تحميله وتشغيله، وسيُخبرك في حال كان جهازك يمتلك الثغرة ومهددًا، أم لا.

GX Loai يقول:

يا الهي ما هذا ؟ لنهرب الى ايفون يا شباب ههههههههه

Leave a Reply

Your email address will not be published. Required fields are marked *