بما أن لينكس هو مشروع مفتوح المصدر ، فإنه من الصعب العثور على عيوب أمنية في شفرة المصدر الخاصة به ، حيث يقوم الآلاف من المستخدمين بمواصلة التحقق من ذلك وإصلاحه. بسبب هذا النهج الاستباقي ، حتى عند اكتشاف عيب ، يتم تصحيحه على الفور. ولهذا السبب كان مفاجئًا للغاية عندما تم اكتشاف عملية استغلال في العام الماضي والتي نجت من الحرص الواجب من جميع المستخدمين على مدى السنوات التسع الماضية. نعم ، تقرأها بشكل صحيح ، على الرغم من اكتشافها في أكتوبر 2016 ، فقد كانت موجودة داخل شفرة نواة لينكس منذ 9 سنوات. يُعرف هذا النوع من الثغرات الأمنية ، وهو نوع من الأخطاء في التصعيد الامتياز ، بضعف بقرة القذرة (رقم كتالوج علة نواة لينكس - CVE-2016-5195).
على الرغم من أنه تم تصحيح هذا الضعف لـ Linux بعد أسبوع من اكتشافه ، إلا أنه ترك جميع أجهزة Android عرضة لهذا الاستغلال (يستند Android إلى Linux kernel). ومع ذلك ، تم اتباع نظام Android المصحح في كانون الأول 2016 ، نظرًا لطبيعة نظام Android المجزأ ، لا يزال هناك الكثير من أجهزة Android التي لم تتلق التحديث ولا تزال عرضة له. ما هو أكثر إثارة للرعب هو أن تم اكتشاف برنامج ضار جديد الروبوت يطلق عليها ZNIU بضعة أيام مرة أخرى وهو استغلال ثغرة بقرة القذرة. في هذه المقالة ، سنلقي نظرة متعمقة على ثغرة قذر القذرة وكيف يتم إساءة استخدامه على Android بواسطة ZNIU malware.
ما هو ضعف بقرة القذرة؟
كما ذكر أعلاه ، فإن ثغرة بقرة القذرة هي نوع من استغلال التصعيد الامتياز الذي يمكن استخدامه لمنح امتياز المستخدم الفائق لأي شخص. بشكل أساسي ، باستخدام هذا الثغرة الأمنية ، يستطيع أي مستخدم ذي نية خبيثة منحه امتيازًا للمستخدم الفائق ، وبالتالي الوصول إلى جذر كامل لجهاز الضحية. الحصول على وصول الجذر إلى جهاز الضحية يعطي المهاجم السيطرة الكاملة على الجهاز ويمكنه استخراج جميع البيانات المخزنة على الجهاز ، دون أن يصبح المستخدم أكثر حكمة.
ما هو ZNIU وما هو بقرة قذر أن تفعل مع ذلك؟
ZNIU هو أول برنامج خبيث مسجل للأندرويد يستخدم ثغرة Dirty Cow في مهاجمة أجهزة Android. تستخدم البرامج الضارة ثغرة Dirty Cow للحصول على وصول الجذر إلى أجهزة الضحية. في الوقت الحالي ، تم اكتشاف أن البرامج الضارة مختبئة في أكثر من 1200 من تطبيقات الألعاب الإباحية والإباحية. في وقت نشر هذه المقالة ، وجد أن أكثر من 5000 مستخدم في 50 بلدًا قد تأثروا بها.
ما هي أجهزة Android التي تتعرض لـ ZNIU؟
بعد اكتشاف الضعف القذر (أكتوبر 2016) ، أصدرت جوجل رقعة في ديسمبر 2016 لإصلاح هذه المشكلة. ومع ذلك ، تم إصدار التصحيح لأجهزة Android التي كانت تعمل على Android KitKat (4.4) أو أعلى. وفقًا لتفكك نظام التشغيل Android للتوزيع بواسطة Google ، فإن أكثر من 8٪ من هواتف Android الذكية ما زالت تعمل على إصدارات أقل من Android. من تلك الأجهزة التي تعمل على Android 4.4 إلى Android 6.0 (Marshmallow) ، فإن تلك الأجهزة فقط هي الأجهزة الآمنة التي تلقت وتثبيت تصحيح الأمان في ديسمبر لأجهزةها.
هذا الكثير من أجهزة Android التي لديها إمكانية استغلالها. ومع ذلك ، يمكن للناس أن يأخذوا العزاء في حقيقة أن ZNIU تستخدم نسخة معدلة نوعًا ما من ثغرة Dirty Cow ومن ثم تبين أنها ناجحة فقط ضد أجهزة Android التي تستخدم بنية 64-ARM / X86 . ومع ذلك ، إذا كنت مالكًا على Android ، فمن الأفضل التحقق مما إذا كنت قد قمت بتثبيت تصحيح الأمان في ديسمبر أم لا.
ZNIU: كيف يعمل؟
بعد أن يقوم المستخدم بتنزيل تطبيق ضار مصاب ببرامج ضارة من نوع ZNIU ، عند تشغيل التطبيق ، تقوم البرامج الضارة من ZNIU بالاتصال والاتصال تلقائيًا بخوادم التحكم والمراقبة (C & C) الخاصة بها للحصول على أية تحديثات إذا كانت متوفرة. وبمجرد أن يقوم بتحديث نفسه ، فإنه يستخدم ميزة التصعيد الامتياز (البقرة القذرة) للاستفادة من وصول الجذر إلى جهاز الضحية. بمجرد وصول الجذر إلى الجهاز ، فإنه سيتم حصاد معلومات المستخدم من الجهاز .
في الوقت الحالي ، تستخدم البرامج الضارة معلومات المستخدم للاتصال بشركة شبكة الضحية عن طريق الظهور كمستخدم بنفسه. وبمجرد التصديق عليها ، ستنفذ معاملات صغيرة تستند إلى الرسائل النصية القصيرة وتجمع الدفعات من خلال خدمة الدفع الخاصة بالناقل. البرامج الضارة ذكية بما فيه الكفاية لحذف جميع الرسائل من الجهاز بعد إجراء المعاملات. وبالتالي ، فإن الضحية ليس لديه فكرة عن المعاملات. عموما ، يتم تنفيذ المعاملات لمبالغ صغيرة جدا (3 دولار في الشهر). هذا هو إجراء احترازي آخر من قبل المهاجم لضمان عدم اكتشاف الضحية لعمليات تحويل الأموال.
بعد تتبع المعاملات ، تبين أن الأموال قد تم تحويلها إلى شركة وهمية مقرها في الصين . وبما أن المعاملات القائمة على الناقل لا يُسمح لها بتحويل الأموال دوليًا ، فإن المستخدمين المتأثرين بالصين فقط هم الذين سيعانون من هذه المعاملات غير القانونية. ومع ذلك ، سيظل المستخدمون خارج الصين لديهم البرامج الضارة المثبتة على أجهزتهم والتي يمكن تنشيطها في أي وقت عن بُعد ، مما يجعلها أهدافًا محتملة. حتى لو كان الضحايا الدوليون لا يعانون من المعاملات غير القانونية ، فإن الباب الخلفي يمنح المهاجم فرصة لحقن شفرة أكثر ضارة في الجهاز.
كيف تنقذ نفسك من البرامج الضارة ZNIU
لقد كتبنا مقالة كاملة حول حماية جهاز Android الخاص بك من البرامج الضارة ، والتي يمكنك قراءتها بالنقر هنا. الشيء الأساسي هو استخدام الحس السليم وعدم تثبيت التطبيقات من مصادر غير موثوق بها. حتى في حالة البرمجيات الخبيثة ZNIU ، فقد رأينا أن البرمجيات الخبيثة يتم تسليمها للهاتف المحمول للضحية عند تثبيت تطبيقات إباحية أو تطبيقات ألعاب الكبار ، والتي يتم إنشاؤها بواسطة مطورين غير موثوق بهم. للحماية من هذه البرامج الضارة المحددة ، تأكد من أن جهازك في تصحيح الأمان الحالي من Google. تم تصحيح هذا الاستغلال مع التصحيح الأمني لشهر ديسمبر (كانون الأول) 2016 من Google ، وبالتالي فإن أي شخص لديه هذا التصحيح مثبت في مكان آمن من البرنامج الخبيث ZNIU. ومع ذلك ، قد لا تكون قد تلقيت التحديث ، اعتمادًا على OEM الخاص بك ، وبالتالي فمن الأفضل دائمًا أن تكون مدركًا لجميع المخاطر وأن تتخذ الاحتياطات اللازمة من جانبك. مرة أخرى ، كل ما يجب عليك فعله وما لا ينبغي أن تفعله لإنقاذ جهازك من الإصابة بالبرامج الضارة مذكور في المقال المرتبط أعلاه.
حماية جهاز الأندرويد الخاص بك من الإصابة بالبرامج الضارة
شهد العامان الماضيان ارتفاعًا في هجمات البرامج الضارة على Android. كانت ثغرة بقرة قذرة واحدة من أكبر عمليات الاستغلال التي تم اكتشافها من أي وقت مضى ورؤية كيف تستغل ZNIU هذه الثغرة المروعة. ZNIU مقلق بشكل خاص بسبب مدى تأثير الأجهزة ، والسيطرة غير المقيدة التي تمنحها للمهاجم. ومع ذلك ، إذا كنت على دراية بالمشكلات واتخذت الاحتياطات اللازمة ، فسيكون جهازك آمنًا من هذه الهجمات المحتملة الخطرة. لذا ، تأكد أولاً من تحديث أحدث تصحيحات الأمان من Google بمجرد الحصول عليها ، ثم ابعد عن التطبيقات والملفات والروابط غير الموثوق بها والمشبوهة. ما الذي يجب عليك فعله لحماية جهازك من هجمات البرامج الضارة؟ دعنا نعرف أفكارك حول هذا الموضوع عن طريق إسقاطها في قسم التعليقات أدناه.
