Page Nav

HIDE

Gradient Skin

Gradient_Skin

أخر المواضيع

latest

شركة قوقل ترقع نسبيا ثغرة أمنية لمتصفها كروم على نظام الاندرويد

نجحت شركة Google في إصلاح ثغرة الخصوصية في متصفحها Chrome لنظام التشغيل Android  والتي تعرض للمستخدمين الى هجمات عن بُعد بتحديد الأجهز...

نجحت شركة Google في إصلاح ثغرة الخصوصية في متصفحها Chrome لنظام التشغيل Android 
والتي تعرض للمستخدمين الى هجمات عن بُعد بتحديد الأجهزة الغير محدثة و استغلال الثغرات المعروفة.
الثغرة الأمنية التي تم تسميتها CVE ، هو في الحقيقة خطأ في طريقة اعطاء المعلومات من نظام الأندرويد
و بالأخص من متصفحها على نفس النظام نحو شركة قوقل Google 
بما يسمى سلسلة "وكيل المستخدم / User Agentالخاصية تحتوي على معلومات  مهمة 
كرقم إصدار Android ، و اسم الجهاز و التطبيقات المثبتة عليه ، يعني كل ما يحتاجه المهاجم أو مستغل هذه الثغرة.

حيث يتم إرسال هذه المعلومات أيضًا إلى التطبيقات التي تستخدم واجهات برمجة تطبيقات WebView 
و Chrome Tabs ، والتي يمكن استخدامها لتتبع المستخدمين وأجهزة بصمة الإصابع 
التي يتم تشغيلها عليها فعلى سبيل المثال يكون كالأتي : 
Mozilla/5.0 (Linux; Android 5.1.1; Nexus 6 Build/LYZ28K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.34 Mobile Safari/537.36
قام ياكوف شافرانوفيتش ، أحد المساهمين في برنامج Nightwatch Cybersecurity ، بالإبلاغ عن المشكلة 
في البداية إلى Google قبل ثلاث سنوات من الأن أي في سنة 2015 ، لكن الشركة رفضت في ذلك الوقت تقريره.
وردت عليه أن المتصفح الخاص به "يعمل بطريقة جيدة و لا يوجد به أي أخطاء".

على الرغم من أن نظام Android يقدم خيار استبدالها عبر ميزة "() WebSettings.setUserAgent "
في WebView ، الا أن معظم التطبيقات تقوم بهذه العملية افتراضيا و انما تختار الاعدادات الافتراضية ،

فالبنسبة للعديد من الاجهزة يمكن استعمال هذه الثغرة لمعرفة معلومات حساسة عن الجهاز ، لا سيما البلد الذي يتصل منه
و نوعية الأجهزة المستعملة من طرف شركة تزويد الخدمة أمر صراحة مفزع ...!!

و الملاحظ في نسختها الأخيرة  إصدار كروم Chrome 70 نجحت Google الآن في حل هذه المشكلة جزئيًا في أكتوبر 2018 ،
 بعد تقديم تقرير خاطئ للأسف في وقت سابق من هذا العام بواسطة مستخدم قام بنشره في منتدى Google Chrome.
و أضاف للباحث ، فإن تحديث Chrome 70 أزال معلومات برمجية بسيطة ، لكن معرّف مستخدم النظام لا يزال متاحًا 
في "وكيل المستخدم / User Agent".ومع ذلك ، نظرًا لأن التحديث بالتعديل على التطبيق نفسه وليس على خاصية WebView ،
 يوصى باستبداله يدويا لكل مطوري التطبيقات و النبرمجين على نظام الانذرويد .

المصدر / thehackernews

ليست هناك تعليقات