گوگل وجود ۱۹۳ آسيب‌پذيري امنيتي را در اندرويد 10 تأييد كرد

بالاخره زمان حدس‌زدن درباره‌ي اينكه نام واقعي اندرويد كيو (Android Q) چيست، به‌پايان رسيد. درواقع دوران خود اندرويد Q هم به‌پايان رسيد. گوگل اعلام كرده كه اندرويد در حال تكامل است و در نتيجه، نسخه‌ي جديدي از اين سيستم‌عامل را طي چند هفته‌ي آتي منتشر خواهد كرد. نام اندرويد جديد هم اندرويد ۱۰ خواهد بود. سمير سامات (Sameer Samat)، معاون بخش مديريت محصولات در اندرويد، گفته است:

نسخه‌هاي اوليه و اغواكننده‌ي بسياري از «Q» وجود داشت، اما ما فكر مي‌كنيم زمان آن رسيده است كه در نسخه‌ي ۱۰ و نيز ۲.۵ ميليارد دستگاه فعال [كه درحال‌حاضر وجود دارند]، اين تغيير را ايجاد كنيم.

زمان آن هم رسيده است كه كل ۱۹۳ آسيب‌پذيري امنيتي اندرويد كه گوگل بر لاخبار تخصصي برطرف‌سازي آن‌ها همراه‌با انتشار اندرويد ۱۰ تأييد كرده هم موردتوجه قرار بگيرند.

آسيب‌پذيري‌هاي امنيتي اندرويد ۱۰

يادداشت گوگل مبني‌بر تأييد ناباورانه‌ي وجود آسيب‌پذيري‌هاي گوگل، روز بيستم اوت در به‌روزرساني بولتن خبري امنيتي پروژه‌ي منبع‌باز اندرويد (AOSP) منتشر شد. خبر بد آن است كه تمامي ۱۹۳ آسيب‌پذيري امنيتي در اندرويد كه بايد برطرف بشوند، طيف گسترده‌اي از موارد مربوط‌به ارتقاي سطح دسترسي، اجراي كد از راه‌ دور، افشاي اطلاعات و انكار دسته‌بندي خدمات را شامل مي‌شود. دو مورد از اين‌ها در خود زمان اجراي اندرويد مي‌گنجند و دو مورد ديگر نيز مربوط‌به جزوه رايگانخانه هستند. ۲۴ مورد هم مربوط‌به فريم‌ورك هستند. با اين‌ همه، تعداد بسيار زيادي از آن‌ها مربوط‌به فريم‌ورك رسانه‌اي اندرويد (۶۸ مورد) و سيستم اندرويد (۹۷ مورد) است. شدت ريسك همه‌ي اين آسيب‌پذيري‌ها «متوسط» ارزيابي شده است.

خبر خوب هم آن است كه همه‌ي آسيب‌پذيري‌هاي يادشده با وصله‌ي امنيتي پيش‌فرض اندرويد ۱۰ سطح ۰۱-۰۹-۲۰۱۹ كه در سيستم‌عامل جديد منتشر خواهد شد، قابل حل است. خبر ديگر آن است كه در به‌روزرساني بولتن خبري امنيتي گفته شده كه هيچ گزارشي مبني‌بر اكسپلويت يا سوءاستفاده‌ي فعال از اين مسائل كه به‌تازگي فاش شده‌اند، دريافت نشده است.

بهبود حريم خصوصي در اندرويد ۱۰

اخبار خوب براي ۲.۵ ميليارد طرفدار اندرويد به‌همين‌جا ختم نمي‌شود. در ابتداي سال جاري، استفاني كاتبرتسون (Stephanie Cuthbertson)، مديريت بخش مديريت محصولات براي اندرويد، اعلام كرد كه اندرويد Q (كه آن زمان به اين نام خوانده مي‌شد) درحدود ۵۰ ويژگي جديد خواهد داشت و تغييرات آن روي مسائل مربوط‌به امنيت و حريم خصوصي متمركز خواهد بود. كاتبرتسون در حرف خود صادق بود و ويژگي‌هاي امنيتي و حريم خصوصي جديد و بسياري به اندرويد ۱۰ افزوده شده‌اند. جزئيات برخي از اين تغييرات را مي‌توان در وب‌سايت توسعه‌دهندگان اندرويد Q مطالعه كرد. بيانيه‌اي در اين وب‌سايت وجود دارد كه در آن آمده است:

اندرويد Q، شفافيت و تسلطي كه متخصصان بر داده‌ها و قابليت‌هاي اپليكيشن‌ها دارند را گسترش مي‌دهد.

مهم‌ترين تغيير ايجادشده، افزودن قابليت «ذخيره‌سازي محدود» (scoped storage) به سيستم‌عامل جديد است كه اين امكان را به متخصص مي‌بخشد كه كنترل بيشتري بر فايل‌هاي خود داشته باشد. اين كار تنها با اجازه‌ي دريافت يك نمايش فيلترشده توسط اندرويد از فهرست ويژه‌ي اپليكيشن‌ها و انواع ويژه‌ي فايل‌هاي رسانه‌اي ممكن مي‌شود. علاوه‌براين، متخصصان كنترل بيشتري بر زمان استفاده‌ي اپليكيشن‌ها از موقعيت مكاني دستگاه خواهند داشت. هرزمان كه اپليكيشني از متخصصان درخواست اين دسترسي را مي‌كند، آن‌ها دو گزينه پيش‌رو خواهند داشت: تنها زماني‌كه از اپليكيشن استفاده مي‌شود يا هميشه (به‌عبارت ديگر، در پس‌زمينه اين اتفاق مي‌افتد).

اتفاق ديگري كه در اندرويد ۱۰ مي‌افتد آن است كه زمان آغازبه‌كار فعاليت‌ها در پس‌زمينه محدود مي‌شوند. اين كار براي به‌حداقل‌رساندن وقفه‌ها در حين كار براي متخصص انجام مي‌شود و مي‌تواند كنترل بهتري از آنچه روي نمايشگر نشان داده مي‌شود به متخصص ببخشد.

تغييراتي هم در چگونگي دسترسي اپليكيشن‌ها به دوربين‌ها ايجاد شده است. اندرويد ۱۰ اپليكيشن‌ها را ملزم كرده است كه اجازه‌ي دسترسي به دوربين داشته باشند تا بتوانند از متاداده‌هاي ويژه‌ي هر دستگاه استفاده كنند. با معرفي اندرويد ۱۰، اپليكيشن‌ها ديگر نخواهند توانست واي‌فاي را فعال يا غيرفعال كنند؛ بلكه بايد با استفاده‌ از يك پنل تنظيمات از متخصص بخواهند كه خودشان اين كار را انجام بدهند. نكته‌ي ديگر آنكه تنظيمات دستي فهرست شبكه‌هاي واي‌فاي اكنون محدود به اپليكيشن‌هاي سيستمي و كنترل‌كننده‌هاي سياست دستگاه خواهد بود. اين كار با هدف محافظت حريم خصوصي متخصص

طبق گزارشي كه در سايت Wired منتشر شده است:

گوگل اكنون توسعه‌دهندگان را ملزم كرده است كه براي رديابي متخصصان، از شناسه‌هايي با قابليت تنظيم مجدد استفاده كند. به‌ اين‌ صورت، اگر زماني اين اثرهاي انگشت ديجيتالي به‌خطر بيفتند يا اگر بخواهيد صفحات ديجيتالي خود را تميز كنيد، مكانيزمي براي اين كار وجود دارد.

تكامل امنيتي اندرويد ۱۰

گزارش بالا به چگونگي استفاده‌ از جزوه رايگانخانه‌ي امنيتي جديد اندرويد ۱۰ با بسته‌هاي Google Jetpack نيز اشاره مي‌كند. هدف از اين قابليت جديد، كمك به توسعه‌دهندگان است تا امنيت را به‌درستي در اپليكيشن‌هاي خود تعبيه كنند؛ حتي اگر تخصص زيادي در اين زمينه نداشته باشند. به‌موازات معرفي جعبه‌هاي شني كه به‌تازگي به استحكام آن‌ها افزوده شده است (شامل جعبه‌هاي كوچك شني كه فرايندهاي سيستمي و اجزاي اپليكيشن‌ها را از هم جدا مي‌كند)، از اهميت موضوع افشاي داده‌ها بين اپليكيشن‌ها كاسته شد.

سرانجام، خبر شادي‌بخش ديگر آن است كه گوگل درحال انجام تغييراتي در نحوه‌ي مديريت به‌روزرساني‌هاي امنيتي توسط اندرويد 10 است. اجزاي مهم سيستم‌عامل اكنون در پس‌زمينه به‌روزرساني مي‌شود؛ اين كار تا حد زيادي به‌همان روش به‌روزرساني برنامه‌ها انجام مي‌شود و هدف از آن، انتقال سريع آخرين اصلاحات امنيتي به دستگاه‌هاي متخصص، بدون‌ نياز به لاخبار تخصصي راه‌اندازي دوباره‌ي دستگاه است. البته، قطعا اين مورد جزء بي‌اهميت‌ترين موارد در فهرست مسائل اهميتي نيست.