سرورهای رام اندرویدی LineageOS هک شد

کمیته رکن چهارم – ما اغلب بر سیستم‌های عاملی که استفاده می‌کنیم اتکا می‌کنیم که ما را از اپها و افراد بدخواه حفاظت کنند، ولی اگر خود سیستم عامل به طرزی مخفیانه مخدوش شود چطور؟ این برای برخی کاربران که به مخدوش شدن‌های امنیتی فکر می‌کنند که ممکن است در شرکت‌هایی مانند مایکروسافت، اپل، و یا گوگل رخ داده باشند می‌تواند چیزی در حد یک کابوس باشد. این کابوس تقریبا به واقعیتی برای توسعه‌دهندگان یکی از محبوبترین رامهای جامعه اندروید (LineageOS) تبدیل شد، ولی خوشبختانه لینیج‌اواس به خاطر بهره‌مند بودن از یک تیم چالاک و باز از این حادثه جان به در برد.

کسانی که خیلی با اندروید آشنایی ندارند شاید نام لینیج‌اواس را نشنیده باشند، ولی با اینکه نام آن جدید است ولی روح و افراد پشت آن اینطور نیست. عقبه آن به سیانوژن مد (CyanogenMod) بر می‌گردد، که احتمالا محبوبترین رام اندرویدی توسعه داده شده توسط جامعه آن در این اکوسیستم شناخته می‌شود. این جامعه رام در سال‌های گذشته کوچک شده است ولی همچنان وجود دارد و بهشتی برای کسانی مانده است که می‌خواهند از قید و بندهای تولیدکنندگان تجاری اندروید بگریزند.

متاسفانه این جامعه می‌تواند هدفی برای افرادی نیز باشد که مقاصد شومی در سر دارند. لینیج‌اواس گزارش داده است که یک مهاجم از دو آسیب‌پذیری در نرم‌افزار سرور Salt که برای دسترسی پیدا کردن به این سرور از آن استفاده می‌کند بهره‌برداری کرده است. اقدام سریع توسعه‌دهندگان لینیج‌اواس باعث شد تا به محض شناسایی این رخداد این سرور را قطع کنند. این هم احتمالا مفید واقع شد که لینیج‌اواس هیچ چیزی که برای ادامه استفاده از گوشی‌هایی که از این رام استفاده می‌کنند اهمیت حیاتی داشته باشد اجرا نمی‌کرد.

توسعه‌دهندگان آن به کاربران اطمینان داده‌اند که چیزی از جنبه کد منبع رام آن، سیستم بیلد آن، و کلیدهای رمزنگاری مورد استفاده برای راستی‌آزمایی صحت این بیت‌ها دستکاری نشده است. با توجه به منبع باز بودن این پروژه، برای دیگران امکان حسابرسی کد و سرور لینیج‌اواس برای راستی‌آزمایی این موضوع امکانپذیر است.

برخی ممکن است این حادثه را اثباتی بر این فرض کنند که یک جامعه کوچک متشکل از داوطلبان ممکن است نتواند در برابر یک تلاش جدی‌تر هکری دوام بیاورد. اگر فقط فاکتور منابع انسانی را در نظر بگیریم این تصور ممکن است درست باشد. با این حال، این واقعیت نیز به همین میزان محتمل است که شرکت‌های بزرگ هم مدام مورد حمله هکری قرار می‌گیرند ولی به خاطر جلوگیریشان از درز این اخبار ما مطلع نشویم و، به جای راستی‌آزمایی کد، صرفا به حرفشان اعتماد کنیم.

منبع: اسلش گیر