کشف باگ امنیتی جدید در سری گلکسی S22 سامسونگ و پیکسل 6 گوگل

گوگل در ماه مه، وصله‌ی امنیتی جدیدی برای رفع آسیب‌پذیری Dirty Pipe Linux ارائه کرد؛ باگ مذکور به برنامه‌های مخرب اجازه کنترل کامل سیستم را می‌داد و برخی از بهترین گوشی‌های اندرویدی اخیر از جمله سری پیکسل 6 گوگل، خانواده‌ی گلکسی S22 سامسونگ و شیائومی 12 پرو تحت تأثیر قرار گرفتند. درحال‌حاضر آسیب‌پذیری جدیدی کشف شده است که دوباره سری پیکسل 6 و گلکسی اس 22 را در معرض خطر امنیتی قرار می‌دهد.

براساس گزارش وب‌سایت فون‌آرنا، ژنپنگ لین متخصص امنیت هسته‌ی لینوکس، نقص جدیدی را در گوشی‌های سری پیکسل 6 کشف کرده است که به مهاجمان اجازه‌ی خواندن و نوشتن اطلاعات، همچنین غیرفعال کردن معماری تقویت‌شده‌ی امنیتی SELinux را می‌دهد. قابلیت مورداشاره به مدیر سیستم اجازه می‌دهد کنترل بیشتری روی افرادی که به بخش‌های خاصی از سیستم دسترسی دارند، داشته باشد.

باگ جدید، تمام گوشی‌های مبتنی‌بر نسخه 5.10 هسته‌ی لینوکس از جمله سری پیکسل 6 و سری گلکسی اس 22 را تحت تأثیر قرار می‌دهد. این فهرست ممکن است همچنین شامل دستگاه‌هایی باشد که اخیراً با اندروید 12 معرفی شده‌اند. گزارش باگ جدید هسته‌ی لینوکس نخستین‌بار در توییتر به اشتراک گذاشته شد. طبق گزارش وب‌سایت اندرویدپلیس، گوگل پس از انتشار ویدئو این آسیب‌پذیری از آن مطلع شده است و بعید به‌نظر می‌رسد این مورد شانس ژینگ لین را برای دریافت جایزه از غول فناوری مستقر در مانتین‌ویوو از بین ببرد، زیرا او مجموعه‌ی کامل دستورالعمل‌های نحوه‌ی عملکرد باگ موردبحث را فاش نکرده است.

به‌نظر می‌رسد مهاجم می‌تواند با سواستفاده از دسترسی به حافظه، کنترل بیشتری روی دستگاه هدف به‌دست آورد. این باگ شبیه آسیب‌پذیری Dirty Pipe است که پیش‌ازاین، سری گلکسی S22 و سری پیکسل 6 که از نسخه‌ی 5.8 کرنل لینوکس استفاده می‌کردند را تحت تأثیر قرار داد. لین اعتقاد دارد ویدئو منتشر شده از آسیب‌پذیری جدید هسته‌ی لینوکس، فقط اثبات مفهومی به‌شمار می‌رود تا کاربران را قبل از انتشار وصله‌ی امنیتی برای رفع آن، از خطرات احتمالی باخبر کند. البته وی هیچ راهکاری برای محافظت از کاربران ارائه نکرده است.

گوگل و سامسونگ هنوز در مورد آسیب‌پذیری مذکور بیانیه‌ای ارائه نکرده‌اند؛ بنابراین نمی‌توان گفت وصله‌ی امنیتی برای برطرف کردن این مشکل چه زمانی منتشر خواهد شد. اندرویدپلیس معتقد است که با توجه به نحوه کارکرد باگ مورداشاره، احتمال دارد ماه سپتامبر راه‌حلی برای رفع آن ارائه شود. البته تولیدکنندگان دستگاه‌های اندرویدی می‌توانند سریعتر وارد عمل شوند و قبل از گوگل نسبت به رفع این باگ اقدام کنند؛ این دقیقاً همان کاری است که سامسونگ با Dirty Pipe انجام داد.