أعلن Thomas Cannon في مدونته عن اكتشافه لثغرة في نظام Android تمكن المخترق من تحميل اي ملف مخزن في ذاكرة SD و بعض الملفات المخزنة في الهاتف عن طريق استدراج المستخدم للدخول الى موقع خبيث تتم برمجته مسبقا من قبل المخترق.

 

أسباب وجود الثغرة:

  • قيام متصفح Android بتحميل اي ملف موجود في الصفحة بشكل اوتوماتيكي دون اعلام المستخدم , مثلا لو كان لدينا ملف بأسم payload.html فسيتم تحميله بشكل اوتوماتيكي الى
/sdcard/download/payload.html
  • بالامكان برمجة كود خبيث باستخدام لغة Java بحيث يتم تشغيل payload بشكل اوتوماتيكي في المتصفح.
  • عند فتح ملف HTML من الجهاز, متصفح Android يقوم بتشغيل اي سكربت مبرمج بلغة Java بشكل اوتوماتيكي دون اعلام المستخدم.
  • في هذه الحالة سيتمكن السكربت من سرقة الملفات المحددة مسبقا من قبل المهاجم و من ثم ارسالها الى الموقع الخبيث.

 

المشكلة الوحيدة في الثغرة هي ضرورة معرفة و تحديد مسار الملف المراد سرقته , و لكن معظم البرامج تقوم بتسمية الملفات استنادا الى تنسيق معين, لذلك فبامكاننا التنبؤ باسم الملف المطلوب بسهولة.

من الجدير بالذكر أن الثغرة لا تمكننا من الحصول على صلاحيات root مما يعني اننا سنتمكن من قراءة الملفات المخزنة على ذاكرة SD فقط مع بعض الملفات الاخرى.

فيديو يوضح استغلال الثعرة :

{flv}Android-data-stealing-vln{/flv}

 

لقد تم اعلام قسم الحماية في Android عن وجود هذه الثغرة , و قد اعلن الفريق بدوره عن نيتهم لاصلاح هذه الثغرة في الاصدار القادم من النظام Android 2.3.

حتى ذلك الحين ننصح المستخدمين بالاتي للمحافظة على معلوماتهم :

  • متابعة قسم التنبيهات أو notification area حيث يتم تسجيل الملفات التي تم تحميلها بشكل اوتوماتيكي و تأكد من عدم وجود اي ملف مثير للشبهات.
  • أو تعطيل JavaScript من المتصفح. بامكانك القيام بذلك من خلال ازالة اشارة الصح من Settings >> Enable JavaScript.
  • استخدام متصح اخر غير متصفح Android مثل Opera Mobile ﻷن Opera يسأل المستخدم قبل تحميل اي ملف و حتى لو تم اكتشاف ثعرة في البنامج فعملية تحديث برامج الـthird-party اسرع و اسهل من عملية تحديث نظام Android. (في رأيي هذا هو الحل الأنسب).
  • خيار اخر هو تعطيل ذاكرة SD و لكن هذا قد يؤثر على طبيعة استخدام الجهاز.

 

لمزيد من المعلومات: thomascannon.net

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn