گوگل وجود ۱۹۳ آسيبپذيري امنيتي را در اندرويد 10 تأييد كرد
بالاخره زمان حدسزدن دربارهي اينكه نام واقعي اندرويد كيو (Android Q) چيست، بهپايان رسيد. درواقع دوران خود اندرويد Q هم بهپايان رسيد. گوگل اعلام كرده كه اندرويد در حال تكامل است و در نتيجه، نسخهي جديدي از اين سيستمعامل را طي چند هفتهي آتي منتشر خواهد كرد. نام اندرويد جديد هم اندرويد ۱۰ خواهد بود. سمير سامات (Sameer Samat)، معاون بخش مديريت محصولات در اندرويد، گفته است:
نسخههاي اوليه و اغواكنندهي بسياري از «Q» وجود داشت، اما ما فكر ميكنيم زمان آن رسيده است كه در نسخهي ۱۰ و نيز ۲.۵ ميليارد دستگاه فعال [كه درحالحاضر وجود دارند]، اين تغيير را ايجاد كنيم.
زمان آن هم رسيده است كه كل ۱۹۳ آسيبپذيري امنيتي اندرويد كه گوگل بر لاخبار تخصصي برطرفسازي آنها همراهبا انتشار اندرويد ۱۰ تأييد كرده هم موردتوجه قرار بگيرند.
آسيبپذيريهاي امنيتي اندرويد ۱۰
يادداشت گوگل مبنيبر تأييد ناباورانهي وجود آسيبپذيريهاي گوگل، روز بيستم اوت در بهروزرساني بولتن خبري امنيتي پروژهي منبعباز اندرويد (AOSP) منتشر شد. خبر بد آن است كه تمامي ۱۹۳ آسيبپذيري امنيتي در اندرويد كه بايد برطرف بشوند، طيف گستردهاي از موارد مربوطبه ارتقاي سطح دسترسي، اجراي كد از راه دور، افشاي اطلاعات و انكار دستهبندي خدمات را شامل ميشود. دو مورد از اينها در خود زمان اجراي اندرويد ميگنجند و دو مورد ديگر نيز مربوطبه جزوه رايگانخانه هستند. ۲۴ مورد هم مربوطبه فريمورك هستند. با اين همه، تعداد بسيار زيادي از آنها مربوطبه فريمورك رسانهاي اندرويد (۶۸ مورد) و سيستم اندرويد (۹۷ مورد) است. شدت ريسك همهي اين آسيبپذيريها «متوسط» ارزيابي شده است.
خبر خوب هم آن است كه همهي آسيبپذيريهاي يادشده با وصلهي امنيتي پيشفرض اندرويد ۱۰ سطح ۰۱-۰۹-۲۰۱۹ كه در سيستمعامل جديد منتشر خواهد شد، قابل حل است. خبر ديگر آن است كه در بهروزرساني بولتن خبري امنيتي گفته شده كه هيچ گزارشي مبنيبر اكسپلويت يا سوءاستفادهي فعال از اين مسائل كه بهتازگي فاش شدهاند، دريافت نشده است.
بهبود حريم خصوصي در اندرويد ۱۰
اخبار خوب براي ۲.۵ ميليارد طرفدار اندرويد بههمينجا ختم نميشود. در ابتداي سال جاري، استفاني كاتبرتسون (Stephanie Cuthbertson)، مديريت بخش مديريت محصولات براي اندرويد، اعلام كرد كه اندرويد Q (كه آن زمان به اين نام خوانده ميشد) درحدود ۵۰ ويژگي جديد خواهد داشت و تغييرات آن روي مسائل مربوطبه امنيت و حريم خصوصي متمركز خواهد بود. كاتبرتسون در حرف خود صادق بود و ويژگيهاي امنيتي و حريم خصوصي جديد و بسياري به اندرويد ۱۰ افزوده شدهاند. جزئيات برخي از اين تغييرات را ميتوان در وبسايت توسعهدهندگان اندرويد Q مطالعه كرد. بيانيهاي در اين وبسايت وجود دارد كه در آن آمده است:
اندرويد Q، شفافيت و تسلطي كه متخصصان بر دادهها و قابليتهاي اپليكيشنها دارند را گسترش ميدهد.
مهمترين تغيير ايجادشده، افزودن قابليت «ذخيرهسازي محدود» (scoped storage) به سيستمعامل جديد است كه اين امكان را به متخصص ميبخشد كه كنترل بيشتري بر فايلهاي خود داشته باشد. اين كار تنها با اجازهي دريافت يك نمايش فيلترشده توسط اندرويد از فهرست ويژهي اپليكيشنها و انواع ويژهي فايلهاي رسانهاي ممكن ميشود. علاوهبراين، متخصصان كنترل بيشتري بر زمان استفادهي اپليكيشنها از موقعيت مكاني دستگاه خواهند داشت. هرزمان كه اپليكيشني از متخصصان درخواست اين دسترسي را ميكند، آنها دو گزينه پيشرو خواهند داشت: تنها زمانيكه از اپليكيشن استفاده ميشود يا هميشه (بهعبارت ديگر، در پسزمينه اين اتفاق ميافتد).
اتفاق ديگري كه در اندرويد ۱۰ ميافتد آن است كه زمان آغازبهكار فعاليتها در پسزمينه محدود ميشوند. اين كار براي بهحداقلرساندن وقفهها در حين كار براي متخصص انجام ميشود و ميتواند كنترل بهتري از آنچه روي نمايشگر نشان داده ميشود به متخصص ببخشد.
تغييراتي هم در چگونگي دسترسي اپليكيشنها به دوربينها ايجاد شده است. اندرويد ۱۰ اپليكيشنها را ملزم كرده است كه اجازهي دسترسي به دوربين داشته باشند تا بتوانند از متادادههاي ويژهي هر دستگاه استفاده كنند. با معرفي اندرويد ۱۰، اپليكيشنها ديگر نخواهند توانست وايفاي را فعال يا غيرفعال كنند؛ بلكه بايد با استفاده از يك پنل تنظيمات از متخصص بخواهند كه خودشان اين كار را انجام بدهند. نكتهي ديگر آنكه تنظيمات دستي فهرست شبكههاي وايفاي اكنون محدود به اپليكيشنهاي سيستمي و كنترلكنندههاي سياست دستگاه خواهد بود. اين كار با هدف محافظت حريم خصوصي متخصص
طبق گزارشي كه در سايت Wired منتشر شده است:
گوگل اكنون توسعهدهندگان را ملزم كرده است كه براي رديابي متخصصان، از شناسههايي با قابليت تنظيم مجدد استفاده كند. به اين صورت، اگر زماني اين اثرهاي انگشت ديجيتالي بهخطر بيفتند يا اگر بخواهيد صفحات ديجيتالي خود را تميز كنيد، مكانيزمي براي اين كار وجود دارد.
تكامل امنيتي اندرويد ۱۰
از لحاظ امنيتي، بهانديشه متخصصين ميرسد اندرويد ۱۰ بيشتر از آنكه تكامل را تجربه كند، دچار تحول شده است. قرار است همراهبا پلتفرم اندرويد ۱۰ و بهعنوان بخشي از آن، يك طرح رمزگذاري بهنام Adiantum نيز معرفي شود. بدينترتيب، گوگل از تمام دستگاههاي جديدي كه از جديدترين نسخهي سيستمعامل اندرويد بهره ميبرند، خواهد خواست تا يا با استفاده از AES (با عملكرد ثابتشده) يا Adiantum (كارايي كافي براي اجرا روي دستگاههاي داراي پردازندهي ARM سطح پايينتر را دارند) رمزگذاري شوند. اين قانون شامل دستگاههاي مجهزبه اينترنت اشياء هم ميشود.
گزارش بالا به چگونگي استفاده از جزوه رايگانخانهي امنيتي جديد اندرويد ۱۰ با بستههاي Google Jetpack نيز اشاره ميكند. هدف از اين قابليت جديد، كمك به توسعهدهندگان است تا امنيت را بهدرستي در اپليكيشنهاي خود تعبيه كنند؛ حتي اگر تخصص زيادي در اين زمينه نداشته باشند. بهموازات معرفي جعبههاي شني كه بهتازگي به استحكام آنها افزوده شده است (شامل جعبههاي كوچك شني كه فرايندهاي سيستمي و اجزاي اپليكيشنها را از هم جدا ميكند)، از اهميت موضوع افشاي دادهها بين اپليكيشنها كاسته شد.
سرانجام، خبر شاديبخش ديگر آن است كه گوگل درحال انجام تغييراتي در نحوهي مديريت بهروزرسانيهاي امنيتي توسط اندرويد 10 است. اجزاي مهم سيستمعامل اكنون در پسزمينه بهروزرساني ميشود؛ اين كار تا حد زيادي بههمان روش بهروزرساني برنامهها انجام ميشود و هدف از آن، انتقال سريع آخرين اصلاحات امنيتي به دستگاههاي متخصص، بدون نياز به لاخبار تخصصي راهاندازي دوبارهي دستگاه است. البته، قطعا اين مورد جزء بياهميتترين موارد در فهرست مسائل اهميتي نيست.
هم انديشي ها