باگ “فاجعه حریم خصوصی” دستگاه های اندرویدی پیش از کیت کت را هدف قرار می دهد (مراقب باشید)

یک خبر خوش دیگر! باگ تازه ای در سیستم عامل اندروید و برای نسخه های پیش از کیت کت (پیش از 4.4) یافت شده که متخصصین امنیتی نامش را “فاجعه حریم خصوصی” یا Privacy Disaster گذاشته اند. با وجودی که تقریبا از هر چهار کاربر اندروید، سه نفرشان می توانند توسط این باگ بلعیده شوند، اما در کمال خوشحالی درصد بسیار کمی آسیب خواهند دید. نقص امنیتی یا باگ Privacy Disaster روی مرورگر متن باز گوگل به نام AOSP Browser عمل می کند. این مرورگر که آن را با آیکن کره زمین آبی رنگ در دستگاه های اندرویدی مختلف دیده ایم، دارای باگی است که می توان با اجرای یک کد مخرب جاوا اسکریپت کنترل آن را در دست گرفت.

روش کار به این صورت است که با ورود مرورگر به یک سایت از پیش تعیین شده، کد مخرب اجرا می شود و با دور زدن موانع امنیتی، گوشی یا تبلت اندرویدی را آلوده می کند. پس از آن تقریبا هر چیزی ممکن است؛ از خواندن فیلد های پسورد و session hijacking گرفته (نوعی هک که در آن هکر با در اختیار گرفتن ارتباط برقرار شده، مثلا با سرور بانک، خود را به جای فرد قرار می دهد) تا دسترسی به داده های کاملا شخصی صاحب دستگاه. Rafay Baloch یک محقق امنیتی است که این باگ را دو هفته ای است کشف کرده و از آن زمان توانسته با موفقیت کنترل گوشی های مختلفی همچون Samsung Galaxy S III ،Motorola DROID RAZR ،Sony Xperia tipo ،HTC Evo 3D و HTC Wildfire را در دست بگیرد. متاسفانه باگ Privacy Disaster به Metasploit راه یافته و همین شرایط را دشوارتر می کند. Metasploit یک فریم ورک امنیتی است که متخصصین امنیت شبکه و هکرها از آن برای یکپارچه سازی، سرعت بخشیدن و مدیریت حمله های خود استفاده می کنند. البته جای خوشحالی است که گوگل اعلام نموده در حال کار روی راه حل این مشکل است.