جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
مطمئناً تاکنون متوجه شده اید که گوشی اندرویدی شما هر از چندگاهی نسخه جدیدی از Firmware خود را دانلود و نصب می کند.
منبع : تابناک
مطمئناً تاکنون متوجه شده اید که گوشی اندرویدی شما هر از چندگاهی نسخه جدیدی از Firmware خود را دانلود و نصب می کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مطمئناً تاکنون متوجه شده اید که گوشی اندرویدی شما هر از چندگاهی نسخه جدیدی از Firmware خود را دانلود و نصب می کند. ممکن است برای اولین بار این ایده به ذهن شما رسیده باشد که در حال دریافت یک به‌روزرسانی برای سیستم‌عامل اندروید هستید و قرار است توسط آن قابلیتی جدید به دستگاه شما اضافه شود، اما لحظاتی بعد متوجه می شوید که این به‌روزرسانی فقط یک آپدیت امنیتیِ خسته‌کننده بوده‌است. بدون شک انتخاب صفت خسته‌کننده برای این به‌روزرسانی‌ها مناسب است؛ اما این موضوع سبب نمی‌شود که از اهمیت بالای آنها کاسته شود.

در این مطلب قصد داریم به‌روزرسانی‌های امنیتی و به‌ویژه مقوله امنیت را در دستگاه های اندرویدی بررسی کنیم.

به‌روزرسانی‌های امنیتی چه هستند
در اغلب فرهنگ  ها آمده «بخشش» جزئی از انسانیت است و به‌طور کلی انسان ها به این فریضه اخلاقی تشویق شده‌‌اند؛ اما باید گفت هکرها و دیگر سوءاستفاده‌گران هیچ‌گاه این طور فکر نمی کنند و از هر راه نفوذی که در سیستم ها وجود داشته‌باشد به‌منظور فعالیت‌های خرابکارانه خود استفاده‌می کنند. هرگاه که یک نرم‌افزار جدید طراحی و نوشته‌می‌شود، خطاهای ناخواسته در آن وجود دارد؛ خطاهایی که برنامه‌نویسان، آنها را با واژه «باگ» معرفی می کنند. یکی از اصلی ترین وظایف مهندسان نرم‌افزار، تلاش برای یافتن و رفع این باگ هاست. آنها در وهله اول سعی می کنند این باگ ها را در هنگام طراحی و نوشتن یک نرم‌افزار پیدا کنند. در گام بعدی این تلاش پس از انتشار اولیه یک نرم‌افزار صورت می گیرد.

به‌طور کلی می توان باگ ها را به دو دسته مختلف تقسیم کرد. دسته اول از باگ‌ها سبب می‌شوند یک نرم‌افزار نتواند به‌درستی فعالیت ها و وظایف خود را انجام دهد. به عنوان مثال ممکن است پس از وارد کردن عبارت ۰۰۱.۳۰۰ * ۰۲.۷۰۰۰ در یک برنامه ماشین حساب، پاسخی همچون ۲.۵۱ به‌دست آید. مشخصاً عاملی سبب شده‌است که این محاسبات با خطا همراه شود. ممکن است صفرهای اضافه ای که در سمت چپ یا راست اعداد موجود در این عبارت قرار داده شده و سبب وقوع این اشتباه شده‌باشد. هنگامی که این خطا در نرم‌افزار شناسایی شود، می توان آن را با انتشار یک به‌روزرسانی برای کاربران برطرف کرد.

انتشار خبرهای مربوط به این نوع از باگ ها معمولاً همراه با سروصدای زیادی همراه است و اگر مهم باشد، می تواند به نابودی کامل یک برند منجر شود یا حداقل میزان فروش یک محصول را به مقدار قابل توجهی کاهش دهد. اما در هرکدام از این حالت ها، معمولاً این نوع از باگ‌ها چندان خطرناک نیستند.

اما نوع دوم از باگ ها که بسیار خطرناک هستند سبب می شوند امنیت نرم‌افزار و به‌طور کلی دستگاهی که آن نرم‌افزار بر روی آن نصب شده‌است به خطر بیفتد. به عنوان مثال ممکن است برنامه‌ای که از کاربران خود یک نام کاربری و یک رمز عبور دریافت می کند، حتی بتوان با تنها وارد کردن یک نام کاربری نامعتبر به اطلاعات حفاظت‌شده ای دسترسی پیدا کرد. شاید در وهله اول تصور حضور چنین باگ بزرگی در یک نرم‌افزار غیرقابل باور باشد؛ اما این اتفاق در واقعیت رخ داده‌است.

در واقع اکثر باگ های امنیتی موجود در نرم‌افزارها بسیار پیچیده‌تر از این هستند، اما باید توجه داشت که حتی ساده‌ترین نوع از این باگ‌ها نیز می‌توانند دسترسی غیرمجاز به اطلاعات حیاتی را فراهم‌کنند. هنگامی که یکی از این باگ ها شناسایی شود باید خیلی سریع با انتشار به‌روزرسانی‌های امنیتی نسبت به رفع آن اقدام کرد تا حفاظت از کاربران و اطلاعات آنها صورت بگیرد.

گاهی اوقات امکان دارد یک باگ با رفتار غیرمنتظره که در دسته اول از باگ ها قرار می گیرد به‌گونه ای مورد سوءاستفاده قرار بگیرد که بتوان آن را به‌عنوان یگ باگ امنیتی و نوع دومی تلقی کرد.

به این ترتیب به‌روزرسانی‌های امنیتی اندروید را باید مجموعه‌ای از تغییرات نرم‌افزاری ضروری بدانیم که می‌تواند به دستگاه‌های مختلف ارسال شود و باگ های امنیتی موجود در آنها را برطرف کند.

چرا به‌روزرسانی‌های امنیتی مهم هستند
پس از اینکه یک به‌روزرسانی امنیتی جدید بر روی دستگاه ها نصب می‌شود، هیچ‌گونه تغییراتی در نحوه عملکرد آن رخ نمی‌دهد؛ به‌گونه ای که حتی امکان تایید اینکه این به‌روزرسانی به‌طور کامل و صحیح نصب شده‌است یا خیر نیز وجود ندارد. باید گفت این طبیعت به‌روزرسانی‌های امنیتی است که امکان شناسایی آنها وجود نداشته‌باشد؛ چرا که آنها سبب می شوند حفره های امنیتی و عموماً حفره های کوچک در حوزه امنیت دستگاه برطرف شود.

به‌عنوان نمونه ممکن است در سیستم‌عامل گوشی شما یک نقص امنیتی وجود داشته‌باشد که سبب شود در صورت دریافت یک پیامک نوشته‌شده به زبان کره‌ای و روسی با ابعاد دقیقاً ۱۶۰ کاراکتر، یک باگ فعال شود که درنهایت به‌منظور ایجاد یک حفره در سیستم امنیتی دستگاه مورد استفاده قرار بگیرد. مطمئناً تنها تعداد کمی از کاربران در دنیا ممکن است چنین پیامکی را دریافت کنند؛ به همین دلیل حتی اگر این باگ وجود داشته‌باشد و توسط یک به‌روزرسانی امنیتی برطرف شود فقط این عده محدود از کاربران از آن آگاهی پیدا می‌کنند.

نکته قابل توجه آن است که اگر هکرها از حضور این نقص امنیتی باخبر شوند خیلی زود انبوهی از این پیامک‌ها را تهیه و برای کاربران خاصی ارسال می‌کنند تا بتوانند کنترل دستگاه هوشمند آنها را در دست بگیرند. در سمت مقابل، بخش اعظمی از کاربران نیز از حضور چنین حفره امنیتی در دستگاه خود آگاهی ندارند و پس از دریافت چنین پیامک‌های عجیبی سعی می‌کنند از آنها سر در بیاورند. درنهایت این تلاش بی سرانجام باقی می ماند و این پیامک نیز پاک می شود؛ اما هکرها بدون اینکه کاربران متوجه شوند به اهداف موردنظر خود می‌رسند.

به این ترتیب به‌روزرسانی‌های امنیتی از این نظر اهمیت دارند که گوشی های هوشمند را از شر هکرهایی که قصد دارند به آن ها نفوذ کنند در امان نگه می دارند. اهمیت این موضوع هنگامی بیشتر می شود که به اطلاعاتی که در گوشی هوشمند خود نگه می داریم توجه می کنیم. اهمیت اطلاعاتی نظیر عکس ها یا پیام های واتس اپ در قیاس با مشخصات کارت های بانکی که بعضاً توسط کاربران در دستگاه های هوشمند ذخیره سازی می شود، ناچیز است. معمولاً در همه دستگاه های هوشمند، لیست بلند بالایی از اطلاعات شخصی وجود دارد که بدست آوردن آن ها برای هکرها جذابیت دارد.

کدام گوشی ها به‌روزرسانی امنیتی دریافت می کنند؟
از نظر تئوری همه گوشی های اندرویدی باید نزدیک به دو سال به‌روزرسانی‌های امنیتی را دریافت کنند؛ اما بسیاری از اوقات این اتفاق رخ نمی دهد. مسیر انتشار یک به‌روزرسانی امنیتی به این صورت است: گوگل یک باگ امنیتی را در سیستم‌عامل اندروید رفع می کند و سپس تغییرات صورت‌گرفته را در AOSP گزارش یا به شرکای خود که حداقل دارای یک محصول مبتنی‌بر اندروید توسعه‌یافته توسط این شرکت هستند اعلام می کند. گوگل معمولاً این کار را به‌صورت ماهیانه انجام می دهد و به همین دلیل در بازه‌های زمانی مشابه شاهد انتشار به‌روزرسانی‌‌‌‌‌‌‌‌ های امنیتی هستیم. در گام بعد، تولیدکنندگان گوشی‌های هوشمند تغییرات صورت‌گرفته توسط گوگل را در Firmware خود وارد و در صورت لزوم یک نسخه از آن را به اپراتورهای شبکه ارسال می کنند. در پایان نیز اپراتورها تغییرات صورت‌گرفته در سیستم‌عامل اندروید را تایید و بسته های امنیتی را برای کاربران دستگاه های هوشمند ارسال می کنند.

این فرایند بر روی محصولات گوگل به‌ویژه گوشی های پیکسل به‌خوبی صورت می گیرد. این موضوع برای دستگاه های عضو برنامه Android One که دارای رابط کاربری به خصوصی نیستند و سیستم‌عامل آنها تنها توسط گوگل پشتیبانی می شود نیز صادق است. برندهای بزرگ که در حال حاضر بخش عمده ای از بازار گوشی های هوشمند را در اختیار دارند نیز به طور مرتب بسیاری دستگاه های خود را به جدیدترین بسته های امنیتی مجهز می کنند. به عنوان مثال گوشی گلکسی نوت ۸ که در آگوست سال ۲۰۱۷ معرفی شد هنوز هم به طور مرتب هر ماه بروزرسانی امنیتی جدیدی را دریافت می کند. سامسونگ حتی چندی پیش این گوشی را به سیستم عامل اندروید ۹ مجهز کرد.

در سمت مقابل برای بسیاری از برندها، انتشار به‌روزرسانی‌های امنیتی نظم خاصی ندارد و حتی برای محصولات تعدادی از برندها چنین آپدیت هایی هیچ‌گاه وجود خارجی نداشته‌است. عدم انتشار به‌روزرسانی‌های امنیتی یک مشکل بزرگ محسوب می شود. به نظر می رسد بخشی از تولیدکنندگان گوشی های هوشمند تنها ذهنیت «فروختن و فراموش کردن» را در سر دارند. این موضوع سبب شده در حال حاضر میلیون ها گوشی هوشمند در دست کاربران وجود داشته‌باشد که اگرچه عمری کمتر از دو سال دارند، اما به‌روزرسانی‌های امنیتی برای آنها منتشر نمی‌شود.

مطمئناً امکان حمله و نفوذ به این دستگاه ها که مدت‌هاست به‌روزرسانی‌های جدید دریافت نکرده اند، بسیار راحت تر از دیگر دستگاه هاست. گوگل مدتی است در نسخه های جدید از سیستم‌عامل خود مشغول ارزیابی و تست روش های جدیدی برای انتشار به‌روزرسانی‌های امنیتی است. ممکن است به‌زودی توسط یکی از این روش ها، شاهد رفع کامل این ایراد اساسی باشیم.

بهترین راهکارها برای ارتقا امنیت دستگاه های اندرویدی
فارغ از اینکه دستگاه شما به‌طور مرتب به‌روزرسانی‌های اندرویدی را دریافت می کند یا نه، بهتر است با استفاده از راهکارهای ساده زیر بازهم امنیت دستگاه خود را تقویت کنید.

بر روی لینک های معرفی شده در ایمیل ها، برنامه های پیام‌رسان و حتی پیامک ها کلیک نکنید، مگر در مورد منبع ارسال یا حداقل، مقصد آنها کاملاً اطمینان داشته‌باشید. هر از چندگاهی از به‌روز بودن تمامی برنامه ها؛ به‌ویژه مرورگرهای وب و برنامه های اختصاصی گوگل مطمئن شوید.

از رمزهای عبور یکتا استفاده کنید. از یک رمز عبور مشترک برای چند حساب کاربری استفاده نکنید. این کار می تواند مشابه استفاده از یک قفل و کلید برای چند خانه باشد و خطرهای زیادی به دنبال دارد. اگر در به‌خاطرسپاری رمزهای مختلف مشکل دارید از یک برنامه مدیریت رمز عبور استفاده کنید.

از رمزهای عبور ساده و قابل پیش بینی توسط دیگران استفاده نکنید. در حال حاضر بسیاری از مرورگرهای وب نظیر گوگل کروم قادر هستند در هنگام ایجاد حساب های کاربری تنها با یک کلیک، یک رمز عبور پیچیده و یکتا تولید کنند.

با استفاده از قابلیت تایید دو مرحله ای (2-Step Verification) از حساب های کاربری خود مراقبت کنید. در این صورت حتی اگر نام کاربری و رمز عبور شما به سرقت برود، بازهم این قابلیت می‌تواند امنیت حساب‌های کاربری را برقرار کند.

از قابلیت Google Security Checkup برای بررسی میزان امنیت حساب کاربری خود در سایت گوگل استفاده کنید. این قابلیت از طریق این آدرس در دسترس است.

حفره های امنیتی zero-day چه هستند و نفوذ از این طریق چگونه ممکن است؟
یکی از جنبه های امنیتی سیستم‌عامل اندروید که از طریق به‌روزرسانی‌های ماهانه پوشش داده نمی‌شود، حفره های موسوم به Zero-day است. حفره های Zero-day، باگ هایی هستند که حتی گوگل نیز از حضور آنها در سیستم‌عامل خود آگاهی ندارد؛ اما گروه ها یا اشخاص دیگر نسبت به شناسایی آنها اقدام کرده اند و نحوه نفوذ از طریق آنها را می دانند. به عبارت دیگر؛ حفره های Zero-day، باگ های امنیتی هستند که گوگل هرگز برای یافتن و رفع آ نها تلاش نکرده‌است.

اتفاقی که در این مواقع رخ می دهد این است که شرکت های فعال در حوزه تخقیقات امنیتی یا جرائم سایبری، تلاش می کنند این باگ ها را پیدا کنند و هنگامی که در این امر موفق شدند، این اطلاعات را به عنوان یک راز نزد خود نگه می دارند. پس از آن، این حفره ها می توانند به‌عنوان یک سلاح مخفی برای اهداف مختلف مورد استفاده قرار بگیرند.

با توجه به اینکه شناسایی این نوع از حفره های امنیتی کار دشواری است، آنها از ارزش بسیار بالایی برخوردار هستند. معمولاً این حفره های امنیتی به دو روش مورد استفاده قرار می گیرند. آ ها یا پس از دریافت مبالغی هنگفت به نیروهای امنیتی یا دولتی فروخته می شوند یا در اختیار افراد و شرکت های فعال در حوزه جرائم سایبری قرار می گیرند تا با اهدافی همچون کلاهبرداری های بزرگ مالی به کار گرفته‌شوند.

در هر دو حالت استفاده از این حفره ها می تواند برای کاربران دستگاه های اندرویدی بسیار خطرناک باشد. گفته می شود چندی پیش در داستان مرگ جمال خاشقچی، روزنامه‌نگار معروف عربستانی از یکی از همین حفره های Zero-day برای کسب اطلاعات از نحوه مرگ و محل حضور او در ساعات پایانی عمرش استفاده شده‌است. حفره ای که گوگل در ماه گذشته اعلام کرد آن را از طریق به‌روزرسانی‌های امنیتی خود برطرف کرده‌است. این موضوع نیز به‌خوبی، اهمیت تجهیز گوشی های هوشمند به جدیدترین نسخه از به‌روزرسانی‌های امنیتی را نشان می دهد.

جمع‌بندی
مقوله امنیت نیز همچون تهیه نسخه پشتیبان از اطلاعات، می تواند برای کاربران خسته‌کننده باشد. مشکل اصلی که در حال حاضر در مورد نسخه پشتیبان از اطلاعات وجود دارد، بی توجهی عموم کاربران به آنها تا زمانی است که این اطلاعات به‌نوعی از دست برود. در حالتی مشابه، بسیاری از کاربران نیز توجهی به امنیت اطلاعات و دستگاه های هوشمند خود ندارند تا زمانی که حساب ایمیل آنها هک شود یا از طریق سیستم بانکداری اینترنتی، بخشی از سپرده آنها به سرقت برود.

در استفاده از دستگاه های هوشمند همیشه مقدار مشخصی از ریسک های امنیتی وجود دارد؛ اما به‌روزرسانی های امنیتی که هر ماهه برای سیستم‌عامل اندروید منتشر می شود، راهی ایده ال برای کاهش این ریسک  ها است و همچنین سبب افزایش پایداری و اعتماد پذیری دستگاه ها می شوند.

بهتر است هرگاه مشاهده کردید یک به‌روزرسانی برای گوشی شما در دسترس است، سریعاً آن را دانلود و نصب کنید.
کد مطلب : 15824
https://aftana.ir/vdcjxoev.uqei8zsffu.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی