جوجل لن تصحح العيب الأمني المستخدم لتتبع أجهزة أندرويد
رفضت شركة جوجل تصحيح الثغرة الأمنية الموجودة في الإصدارات الأقدم من نظامها لتشغيل الأجهزة المحمولة أندرويد، والتي تسمح للمهاجمين بتتبع الهواتف الذكية وتحديد موقعها ما لم يجر المستخدمون ترقية إلى أحدث إصدار من النظام المسمى أندرويد باي 9 Android Pie، وتم الإبلاغ عن هذه الثغرة الأمنية من قبل شركة Nightwatch Cybersecurity، والتي قالت إنه يمكن استخدامها لتحديد أي جهاز أندرويد وتتبعه بشكل فريد، بالإضافة إلى إمكانية تحديد الموقع الجغرافي للمستخدمين.
وأوضحت Nightwatch Cybersecurity أنها أبلغت جوجل عن العيب الأمني في شهر مارس/آذار، وأن عملاقة البحث قالت إنها ستعمل فقط على إصلاح المشكلة في الإصدار الأحدث أندرويد 9، ولن يتم تصحيح العيب في الإصدارات الأقدم، حيث تعرض هذه الثغرة على ما يبدو تفاصيل حول جهاز المستخدم لجميع التطبيقات التي يتم تشغيلها على الجهاز، ويدعي الباحثون أن الإصدارات القديمة لا تزال عرضة لهذه المشكلة.
ويسمح هذا العيب الأمني المشار إليه باسم CVE-2018-9489 للتطبيقات بنقل الأذونات السابقة للوصول إلى المعلومات الموجودة في عمليات بث نظام التشغيل، بما في ذلك العديد من التفاصيل مثل اسم الشبكة اللاسلكية واي فاي Wi-Fi التي يستخدمها جهاز أندرويد، وعنوان ماك MAC الخاص بالجهاز، وعناوين بروتوكولات الإنترنت IP المحلية، و BSSID، ومعلومات خادم DNS، مما يسهل عملية تتبع وتحديد مكان الأجهزة.
وتذكر Nightwatch Cybersecurity جميع المعلومات التي يمكن للتطبيقات الوصول إليها، لكنها أوضحت أيضًا أن بعض التفاصيل مثل عنوان ماك MAC لم تعد متوفرة عبر واجهات برمجة التطبيقات منذ إصدار أندرويد 6 والإصدارات الأحدث، كما أن هناك أذونات إضافية مطلوبة عادًة للوصول إلى مثل هذه المعلومات.
وتوضح التفاصيل أنه بإمكان أي تطبيق على أجهزة أندرويد الحصول على المعلومات من خلال الاستماع إلى عمليات بث نظام التشغيل، وبالتالي تجاوز عمليات التحقق من الأذونات، مع الحديث عن إصلاح جوجل للخلل الأمني ضمن الإصدار الجديد أندرويد 9، والذي يتقصر توافره في الوقت الحالي على الهواتف المحمولة والحواسيب اللوحية التابعة لعلامتها التجارية بيكسل Pixel، بالإضافة إلى هاتف Essential Phone فقط.
وتصل نسبة الهواتف الذكية التي تعمل بنظام أندرويد باي 9 إلى أقل من 0.1 في المئة من مجمل أجهزة أندرويد النشطة، ويوضح التقرير أن هذا الخلل الأمني لا يتواجد ضمن الهواتف الذكية التي تعمل بواسطة إصدارات قديمة من نظام أندرويد فحسب، بل أيضًا ضمن الأجهزة التي تعمل بواسطة إصدارات متشعبة من أندرويد مثل نظام FireOS الذي يشغل أجهزة أمازون Amazon Kindle و Amazon Fire Phone و Fire Table.
