رفع آسیب پذیری dirty pipe از گوگل و سامسونگ

امروز می خواهیم شما را با رفع آسیب پذیری dirty pipe از گوگل و سامسونگ آشنا کنیم. Dirty Pipe یکی از شدیدترین آسیب‌پذیری‌هایی است که در چند سال اخیر به هسته لینوکس برخورد کرده است. این اشکال به یک کاربر غیرمجاز اجازه می‌دهد تا داده‌هایی را که قرار است فقط خواندنی باشند، بازنویسی کند، اقدامی که می‌تواند منجر به افزایش امتیاز شود. این باگ در 19 فوریه برطرف شد و برای نسخه‌های لینوکس مانند Unbuntu، یک پچ نوشته شد و در عرض 17 روز برای کاربران نهایی عرضه شد. اندروید مبتنی بر لینوکس است، بنابراین گوگل و سازندگان اندروید نیز باید این باگ را برطرف کنند. اگر می خواهید بیشتر با رفع آسیب پذیری dirty pipe از گوگل و سامسونگ آشنا شوید، تا انتهای متن با ما همراه باشید.

این آسیب پذیری چیست؟

یک ماه کامل از عرضه دسکتاپ لینوکس می گذرد، پس وضعیت اندروید چگونه است؟ طبق جدول زمانی ارائه شده توسط مکس کلرمن، محققی که این آسیب‌پذیری را کشف کرد، گوگل Dirty Pipe را در پایگاه کد اندروید در 23 فوریه برطرف کرد. اما اکوسیستم اندروید در ارائه کدهای به‌روز شده به کاربران بسیار بد است. به نوعی، کندی اندروید به رفع این آسیب‌پذیری کمک کرده است. این باگ در لینوکس 5.8 معرفی شد که در آگوست 2020 منتشر شد. پس چرا این باگ در دو سال گذشته در سراسر اکوسیستم اندروید منتشر نشده است؟ رفع آسیب پذیری dirty pipe از گوگل و سامسونگ را از ما یاد بگیرید.

پشتیبانی لینوکس اندروید تنها با انتشار اندروید 12 در شش ماه پیش از 5.4 به 5.10 افزایش یافت و گوشی های اندرویدی معمولاً از نسخه های اصلی هسته استفاده نمی کنند. فقط تلفن‌های جدید جدیدترین هسته را دریافت می‌کنند، و سپس تمایل دارند تا زمانی که بازنشسته شوند، به‌روزرسانی‌های کوتاه مدت پشتیبانی را انجام دهند.

چه گوشی هایی تحت تاثیر این باگ قرار می گیرند؟

کندی عرضه هسته اندروید به این معنی است که تنها گوشی‌های کاملاً جدید 2022 تحت تأثیر این باگ قرار می‌گیرند – این بدان معناست که دستگاه‌های روی هسته 5.10 مانند Google Pixel 6، Samsung Galaxy S22 و OnePlus 10 Pro. این آسیب‌پذیری قبلاً به یک اکسپلویت اصلی برای Pixel 6 و S22 تبدیل شده است.

پس پچ کجاست؟ در 23 فوریه به پایگاه کد اندروید رسید و سپس در به‌روزرسانی امنیتی ماه مارس ارسال نشد. این زمان بسیار سریعی بود، اما به‌روزرسانی امنیتی آوریل اکنون منتشر شده است، و Dirty Pipe، CVE-2022-0847، هنوز در بولتن امنیتی Google یافت نمی‌شود. رفع آسیب پذیری dirty pipe از گوگل و سامسونگ را جدی بگیرید.

این شرکت به سؤالات ما (یا سایر نشریات) در مورد اینکه چه اتفاقی برای این وصله افتاده است، پاسخی نداده است، اما منطقی است که انتظار داشته باشیم که پیکسل 6 تا کنون اصلاح شده باشد. این یک گوشی گوگل با تراشه گوگل است که از سیستم عامل گوگل استفاده می کند، بنابراین این شرکت باید بتواند به سرعت به روز رسانی را از درب دریافت کند. هنگامی که این مشکل در اواخر فوریه به پایگاه کد رسید، بسیاری از رام‌های شخص ثالث مانند GrapheneOS توانستند این پچ را در اوایل ماه مارس ادغام کنند.

سامسونگ بهتر عمل کرده یا گوگل؟

به نظر می رسد که سامسونگ واقعاً گوگل را برای انتشار این پچ شکست داده است. سامسونگ یک وصله برای CVE-2022-0847 را در بولتن امنیتی خود فهرست می‌کند که نشان می‌دهد این اصلاح برای گلکسی S22 در حال انتشار است. سامسونگ آسیب‌پذیری‌ها را به باگ‌های اندروید و باگ‌های سامسونگ تقسیم می‌کند و می‌گوید که CVE-2022-0847 در بولتن امنیتی اندروید گوگل در آوریل موجود است، اگرچه این درست نیست. یا سامسونگ این وصله را انتخاب کرده و آن را در بولتن خود نشان نداده است، یا گوگل در آخرین لحظه رفع اشکال را از پیکسل 6 برداشته است.

پیکسل 6 که آخرین تلفنی است که به‌روزرسانی دریافت می‌کند، مطمئناً برای گوگل برند خواهد بود، زیرا این شرکت به‌طور مداوم برای دریافت به‌روزرسانی‌های پرچمدار جدیدش به موقع تلاش می‌کند. وصله‌های دسامبر و ژانویه گوشی با چند هفته تأخیر ارائه شد، حتی اگر قرار است به‌روزرسانی‌های سریع یکی از نقاط اصلی فروش خط پیکسل باشد. به‌روزرسانی‌های پیکسل باید به سرعت ارائه شوند زیرا گوگل سخت‌افزار و نرم‌افزار را کنترل می‌کند و با پیکسل 6، این شرکت نیز طراحی SoC خود را با کمک سامسونگ آغاز کرد. گوگل کمتر از هر زمان دیگری شرکت های خارجی برای هماهنگی با آنها دارد، اما هنوز نمی تواند به روزرسانی های اندروید را با سرعتی که باید انجام دهد. رفع آسیب پذیری dirty pipe از گوگل و سامسونگ مساله ی جدی ای شده است.

این باگ عمومی شده و رایگان است

این وصله 40 روز پیش به مخزن کد منبع اندروید رسید. اکنون که این باگ عمومی و برای هر کسی رایگان است، به نظر می‌رسد که گوگل باید سریع‌تر برای رفع آن حرکت کند.

اگرچه به‌روزرسانی‌ها برای پیکسل‌ها و تلفن‌های سامسونگ همراه با سطوح وصله آوریل 2022 منتشر شده‌اند، سردرگمی‌های زیادی در مورد یک آسیب‌پذیری امنیتی مهم و با مشخصات بالا وجود دارد. اگرچه بولتن امنیتی اندروید برای ماه آوریل امروز منتشر شده است، اما بیان نمی کند که آسیب پذیری Dirty Pipe را که می تواند برای اجرای کد دلخواه مورد استفاده قرار گیرد، برطرف می کند. از سوی دیگر، سامسونگ می‌گوید که وصله‌های گوگل در بولتن آوریل به Dirty Pipe می‌پردازند و سری Galaxy S22 دیگر تحت تأثیر قرار نمی‌گیرند. رفع آسیب پذیری dirty pipe از گوگل و سامسونگ عمومی شده است.

برای افراد ناآشنا، گوگل یک “سطح وصله” بزرگ برای اندروید ارائه می دهد که هر ماه شامل رفع آسیب پذیری های امنیتی می شود. سازندگان گوشی‌های هوشمند زودتر به آن دسترسی پیدا می‌کنند تا در ابتدای هر ماه به‌روزرسانی‌ها را به‌صورت هماهنگ ارائه کنند.

سخن پایانی

در این متن سعی کردیم شما را با رفع آسیب پذیری dirty pipe از گوگل و سامسونگ آشنا کنیم. با فرض اینکه به‌روزرسانی‌های ماهانه را ارائه می‌کنند. (بعضی از تولیدکنندگان این تغییرات را برای دستگاه‌های با کیفیت کمتر جمع‌آوری می‌کنند و هر دو ماه یا هر سه ماه یک بار آن‌ها را تحویل می‌دهند.) هر ماه، Google بولتنی منتشر می‌کند که توضیح می‌دهد کدام آسیب‌پذیری در سطوح وصله ماهانه ارائه شده برطرف شده است.