کمیته رکن چهارم – گوگل در هفته اخیر یک آپدیت امنیتی برای اندروید منتشر کرد اما این به روزرسانی نقص امنیتی «Dirty Pipe» را شامل نمیشد، موردی که در ماه گذشته به حد کافی سر و صدا کرده بود. حال با وجود اینکه احتمالا بایست تا اردیبهشت منتظر آپدیت بمانیم ولی برخی شرکتها مانند همین گوگل و سامسونگ با آپدیت شروع به رفع این آسیبپذیری کردهاند.
طبق اخبار، نقص امنیتی Dirty Pipe که با کد CVE-2022-0847 شناخته میشود، در هسته لینوکس کشف شد و به اشخاص اجازه میدهد تا دادههای خود را بدون مجوز یا دسترسی ادمین در یک فرایند «مختص خوانش» (Read Only) ثبت کنند.
لازم به ذکر است که این نقص امنیتی همین حالا هم در اندروید برای ایجاد دسترسی کامل و موقت کارایی دارد اما همچنین میتواند به انواع بدافزارها و باقی نرمافزارهای ناشناخته اجازه دسترسی سیستمی بدهد. مشکل Dirty Pipe حالا در هسته لینوکس و نسخه اندرویدی هسته لینوکس رفع شده اما به نظر میرسد آپدیت اصلی در اردیبهشت از راه برسد.
تکلیف کاربران گوگل و سامسونگ تا زمان انتشار آپدیت اصلی چه خواهد بود؟
اینکه کسی نخواهد تا آن زمان دستگاه خود را در معرض خطر قرار دهد امری کاملا طبیعی و قابل درک است. گفتن ایست که این مشکل در برخی هستههای سفارشی مانند هسته کیریساکورا برای پیکسل ۶ و پیکسل ۶ پرو رفع شده، این نقص امنیتی همچنین در آپدیت اندروید QPR3 Beta 2 گوگل برای پیکسل ۶ و پیکسل ۶ پرو که روز پنجشنبه منتشر شد هم حل شده است.
با این وجود ظاهرا سامسونگ تنها شرکتی است که با رویکرد و راهکاری اصولی به این نقص امنیتی پرداخته و همانطور که در خبرنامه امنیتی این کمپانی آمده، با اشاره به نقص امنیتی CVE-2022-0847 اعلام شده که آپدیت زودهنگام این شرکت میتواند تمامی حملات ناشی از این نقص را مسدود کند.
گوشیهای شیائومی ۱۲ و ۱۲ پرو هم به دلیل دریافت نکردن هیچگونه آپدیتی هنوز در برابر این نقص آسیبپذیرند، همچنین وانپلاس نیز هنوز هیچ کد منبعی از آپدیت ماه آپریل خود منتشر نکرده است.
در نهایت باید صبر کنیم و ببینیم کدام کمپانی منتظر آپدیت اردیبهشت ماه میماند و کدام شرکت مانند سامسونگ دست به انتشار آپدیت زودهنگام میزند. در هر صورت و تا زمان رفع این مشکل بهتر است از نصب اپلیکشینهای مشکوک و غیر رسمی خودداری کنید.
منبع : دیجیاتو
