Navigation

شركة قوقل ترقع نسبيا ثغرة أمنية لمتصفها كروم على نظام الاندرويد

نجحت شركة Google في إصلاح ثغرة الخصوصية في متصفحها Chrome لنظام التشغيل Android 
والتي تعرض للمستخدمين الى هجمات عن بُعد بتحديد الأجهزة الغير محدثة و استغلال الثغرات المعروفة.
الثغرة الأمنية التي تم تسميتها CVE ، هو في الحقيقة خطأ في طريقة اعطاء المعلومات من نظام الأندرويد
و بالأخص من متصفحها على نفس النظام نحو شركة قوقل Google 
بما يسمى سلسلة "وكيل المستخدم / User Agentالخاصية تحتوي على معلومات  مهمة 
كرقم إصدار Android ، و اسم الجهاز و التطبيقات المثبتة عليه ، يعني كل ما يحتاجه المهاجم أو مستغل هذه الثغرة.

حيث يتم إرسال هذه المعلومات أيضًا إلى التطبيقات التي تستخدم واجهات برمجة تطبيقات WebView 
و Chrome Tabs ، والتي يمكن استخدامها لتتبع المستخدمين وأجهزة بصمة الإصابع 
التي يتم تشغيلها عليها فعلى سبيل المثال يكون كالأتي : 
Mozilla/5.0 (Linux; Android 5.1.1; Nexus 6 Build/LYZ28K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.34 Mobile Safari/537.36
قام ياكوف شافرانوفيتش ، أحد المساهمين في برنامج Nightwatch Cybersecurity ، بالإبلاغ عن المشكلة 
في البداية إلى Google قبل ثلاث سنوات من الأن أي في سنة 2015 ، لكن الشركة رفضت في ذلك الوقت تقريره.
وردت عليه أن المتصفح الخاص به "يعمل بطريقة جيدة و لا يوجد به أي أخطاء".

على الرغم من أن نظام Android يقدم خيار استبدالها عبر ميزة "() WebSettings.setUserAgent "
في WebView ، الا أن معظم التطبيقات تقوم بهذه العملية افتراضيا و انما تختار الاعدادات الافتراضية ،

فالبنسبة للعديد من الاجهزة يمكن استعمال هذه الثغرة لمعرفة معلومات حساسة عن الجهاز ، لا سيما البلد الذي يتصل منه
و نوعية الأجهزة المستعملة من طرف شركة تزويد الخدمة أمر صراحة مفزع ...!!

و الملاحظ في نسختها الأخيرة  إصدار كروم Chrome 70 نجحت Google الآن في حل هذه المشكلة جزئيًا في أكتوبر 2018 ،
 بعد تقديم تقرير خاطئ للأسف في وقت سابق من هذا العام بواسطة مستخدم قام بنشره في منتدى Google Chrome.
و أضاف للباحث ، فإن تحديث Chrome 70 أزال معلومات برمجية بسيطة ، لكن معرّف مستخدم النظام لا يزال متاحًا 
في "وكيل المستخدم / User Agent".ومع ذلك ، نظرًا لأن التحديث بالتعديل على التطبيق نفسه وليس على خاصية WebView ،
 يوصى باستبداله يدويا لكل مطوري التطبيقات و النبرمجين على نظام الانذرويد .

المصدر / thehackernews

مشاركة
IGOUTECH

النوميدي

اسمي سليم و ألقب بالنوميدي من الجزائر العاصمة ، لكني أعتبر كل بلاد المسلمين أوطاني ، حاصل على دبلوم تقني سامي اعلام ألي تخصص شبكات ، قمت بانشاء موقع ايقوتاك لتقديم كل ما هو مفيد للشباب العربي ، و لاثراء المحتوى العربي من برامج و تطبيقات مدفوعة و شروحات فيديو و مصورة في مجال التقنية و الحاسبوب و وكل ما يخص مجال تطوير المواقع و المنتديات و الشبكات ، بكل بساطة و احترافية و مصداقية .. تابعونا..

أضف تعليق:

0 comments: