قامت Google بتصحيح العديد من الأخطاء في تصحيح أمان Android لشهر مايو 2020. ويقال أن نقاط الضعف هذه تشكل مخاطر عالية للمستهلكين وكذلك الشركات والمؤسسات الحكومية – إذا تم استغلالها. يمكن أن يسمح عيب الخطورة الحرج CVE-2020-0103 ، على وجه الخصوص ، بتنفيذ التعليمات البرمجية عن بُعد. وهو يؤثر على جميع إصدارات نظام التشغيل Android باستخدام مستويات تصحيح الأمان التي صدرت قبل 5 مايو. وقد أدرج مركز أمان الإنترنت (CIS) ما مجموعه 39 نقطة ضعف عالية في نظام تشغيل Android من Google والتي تم تصحيحها في التحديث الأخير من قبل Google. تشير المنظمة إلى أنه تم طرح إصلاحات لجميع هذه الثغرات الأمنية بواسطة Google مع تصحيح مايو 2020 ، ولكن لم تقم الشركات المصنعة الأصلية الأخرى بنشره على هواتفهم.
أدرجت CIS 39 نقطة ضعف في نظام التشغيل Android في منشور مدونتها التي تشكل خطرًا كبيرًا على الشركات الصغيرة والمتوسطة والكبيرة والمنظمات الحكومية. تلاحظ المنظمة أنه لا توجد حاليًا تقارير عن استغلال هذه الثغرات في البرية. أكثر هذه الثغرات خطورة هو CVE-2020-0103 مما قد يسمح بتنفيذ التعليمات البرمجية عن بُعد.
لم يتم الكشف عن ثغرة تنفيذ التعليمات البرمجية عن بُعد في CVE-2020-0103 على موقع CVE Mitre بواسطة NVD ، لكن Google في نشرة الأمن الخاصة بها في 1 مايو أشارت إلى أن “أكثر هذه المشكلات خطورة هو ثغرة أمنية حرجة في مكون النظام يمكن أن يمكّن مهاجمًا بعيدًا باستخدام إرسال مصنوع خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. “
ويضيف كومنولث الدول المستقلة: “إن الاستغلال الناجح لأشد نقاط الضعف هذه قد يسمح بتنفيذ التعليمات البرمجية عن بُعد في سياق عملية مميزة. يمكن استغلال نقاط الضعف هذه من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب و MMS عند معالجة ملفات الوسائط “. ومع ذلك ، يختلف الضرر الذي تسببه هذه الأخطاء بناءً على الامتيازات المرتبطة بالتطبيقات الضارة. في أسوأ الحالات ، يمكن للمهاجم تثبيت البرامج ؛ عرض البيانات أو تغييرها أو حذفها ؛ أو إنشاء حسابات جديدة بحقوق المستخدم الكاملة.
وتضيف رابطة الدول المستقلة: “إذا تمت تهيئة هذا التطبيق بحيث يكون لديه عدد أقل من حقوق المستخدم على النظام ، فإن استغلال أكثر نقاط الضعف خطورة قد يكون له تأثير أقل مما لو تم تكوينه بحقوق إدارية”.
تشير أحدث نشرة Android إلى أن جميع نقاط الضعف هذه قد تم تصحيحها بأحدث تصحيح أمان Android لشهر مايو 2020 بتاريخ 5 مايو. ومن بين 39 ثغرة ، تم تصنيف 36 على أنها عالية الخطورة ، وصنف 1 معتدل ، وصنف 2 على أنه خطير . بصرف النظر عن CVE-2020-0103 ، كان العيب الآخر الحرج (CVE-2020-3641) في مكون مصدر مغلق مغلق من Qualcomm ، ولم يتم تفصيله بعد.
تنصح رابطة الدول المستقلة مصنعي المعدات الأصلية (OEM) بتطبيق التحديثات المناسبة من قِبل Google أو مشغلي شبكات الجوال على الأنظمة الضعيفة ، فورًا بعد إجراء الاختبارات المناسبة. كما توصي المستخدمين بتنزيل تطبيقات البائعين الموثوق بها فقط عبر متجر Google Play. يجب على المستخدمين توخي الحذر والتقييم قبل زيارة مواقع الويب غير الموثوق بها أو اتباع الروابط التي توفرها مصادر غير معروفة أو غير موثوقة. بالنسبة لأولئك الذين هم على دراية بأفضل الممارسات الأمنية ، يجب أن يعلموا الآخرين ويثقفوا بشأن التهديدات التي تشكلها روابط النص التشعبي الواردة في رسائل البريد الإلكتروني أو المرفقات غير الموثوق بها.