برخی از گوشی های اندروید میزبان آسیب پذیری Full Disk Encryption شدند

برخی از گوشی های اندروید میزبان آسیب پذیری Full Disk Encryption شدند

با گذشت زمان بر امنیت گوشی های اندروید نیز افزوده شده و مسئاله امنیت در کانون توجه بسیاری از سازندگان گوشی های اندروید و کمپانی گوگل قرار گرفته است. قابلیت رمزگذاری در گوشی ها تعبیه شده و پچ های امنیتی نیز به صورت مرتب برای گوشی ها ارسال می شود، با این ترفندهای امنیتی ماهیت اندروید به عنوان یک سیستم عامل امن تر از قبل شده و این وضعیت در حال ادامه است. اما این شرایط به معنای عدم وجود نواقص و آسیب پذیری ها در سیستم نمی باشد. یکی از این نمونه ها به آسیب پذیری های کشف شده از سوی محقق امنیتی، Gal Beniamini مربوط است، این آسیب پذیری میلیون ها گوشی اندروید را که از پردازگشرهای کوالکام استفاده می کنند، در خطر مشکلی به نام Full Disk Encryption قرار می دهد، این مسئاله در گوشی هایی که نسخه 5.0 یا بالاتر از اندروید را مورد استفاده می دهند، وجود دارد.

blog_19533_1

این نقص که Full Disk Encryption را مستعد به حملات Brute-Force گردانیده، ریشه در نواقص کرنل TrustZone بر روی پردازگشرهای کوالکام دارد که میلیون ها گوشی اندروید را تهدید می کند. شایان ذکر است که کوالکام و گوگل با پرداختن به این مشکلات کشف شده، پچ هایی را برای مشتریان و شرکا ارسال نموده اند. گوگل اشاره می کند که پچ ژانویه 2016 و می 2016 به این مشکل پرداخته و آسیب های CVE-2015-6639 و CVE-2016-2431 را برطرف نموده اند. اما انتشار آپدیت های این پچ ها بدین معنا نیست که تمامی گوشی ها آپدیت موردنظر را دریافت کرده باشند و حداقل برای آپدیت منتشر شده در ماه می این احتمال وجود دارد که گوشی ها آپدیت مربوط به ژانویه را که مربوط به آسیب پذیری CVE-2015-6639 بود دریافت نموده اند.

در مدت زمانی که پچ های این آسیب پذیری ها هنوز منتشر نشده بود، این احتمال وجود داشت که هکرها با انجام حمله Brute-Force به اطلاعات شخصی کاربر بر روی گوشی رمزگذاری شده ای که پسورد آن را شناسایی کرده بودند دسترسی پیدا کنند، زیرا این اتک به آنها کلید رمزگذاری منحصر به فردی که برای رمزگشایی گوشی مورد نیاز است را می دهد. بدون استفاده از متد حمله Brute-Force، این کلید منحصر به فرد در دسترس نمی باشد و داده های موجود در گوشی رمزگذاری شده باقی می مانند. این آسیب پذیری ها در بیانیه های امنیتی نکسوز گوگل در ماه ژانویه و می به عنوان حیاتی فهرست شده اند، مبنی بر بیانات گوگل این مشکلات رفع شده و گوگل و کوالکام پس از کشف این آسیب پذیری به سختی در جهت رفع آن تلاش نموده اند.

 

http://www.androidheadlines.com برگرفته از

اینها را هم بخوانید