گوگل وجود ۱۹۳ آسیبپذیری امنیتی را در اندروید 10 تأیید کرد
گوگل در بیانیهای وجود ۱۹۳ آسیبپذیری امنیتی در اندروید ۱۰ را تأیید کرده و گفته است که آنها را بهزودی برطرف میکند.
بالاخره زمان حدسزدن دربارهی اینکه نام واقعی اندروید کیو (Android Q) چیست، بهپایان رسید. درواقع دوران خود اندروید Q هم بهپایان رسید. گوگل اعلام کرده که اندروید در حال تکامل است و در نتیجه، نسخهی جدیدی از این سیستمعامل را طی چند هفتهی آتی منتشر خواهد کرد. نام اندروید جدید هم اندروید ۱۰ خواهد بود. سمیر سامات (Sameer Samat)، معاون بخش مدیریت محصولات در اندروید، گفته است:نسخههای اولیه و اغواکنندهی بسیاری از «Q» وجود داشت، اما ما فکر میکنیم زمان آن رسیده است که در نسخهی ۱۰ و نیز ۲.۵ میلیارد دستگاه فعال [که درحالحاضر وجود دارند]، این تغییر را ایجاد کنیم.
زمان آن هم رسیده است که کل ۱۹۳ آسیبپذیری امنیتی اندروید که گوگل بر لزوم برطرفسازی آنها همراهبا انتشار اندروید ۱۰ تأیید کرده هم موردتوجه قرار بگیرند.
آسیبپذیریهای امنیتی اندروید ۱۰
یادداشت گوگل مبنیبر تأیید ناباورانهی وجود آسیبپذیریهای گوگل، روز بیستم اوت در بهروزرسانی بولتن خبری امنیتی پروژهی منبعباز اندروید (AOSP) منتشر شد. خبر بد آن است که تمامی ۱۹۳ آسیبپذیری امنیتی در اندروید که باید برطرف بشوند، طیف گستردهای از موارد مربوطبه ارتقای سطح دسترسی، اجرای کد از راه دور، افشای اطلاعات و انکار دستهبندی خدمات را شامل میشود. دو مورد از اینها در خود زمان اجرای اندروید میگنجند و دو مورد دیگر نیز مربوطبه کتابخانه هستند. ۲۴ مورد هم مربوطبه فریمورک هستند. با این همه، تعداد بسیار زیادی از آنها مربوطبه فریمورک رسانهای اندروید (۶۸ مورد) و سیستم اندروید (۹۷ مورد) است. شدت ریسک همهی این آسیبپذیریها «متوسط» ارزیابی شده است.
خبر خوب هم آن است که همهی آسیبپذیریهای یادشده با وصلهی امنیتی پیشفرض اندروید ۱۰ سطح ۰۱-۰۹-۲۰۱۹ که در سیستمعامل جدید منتشر خواهد شد، قابل حل است. خبر دیگر آن است که در بهروزرسانی بولتن خبری امنیتی گفته شده که هیچ گزارشی مبنیبر اکسپلویت یا سوءاستفادهی فعال از این مسائل که بهتازگی فاش شدهاند، دریافت نشده است.
بهبود حریم خصوصی در اندروید ۱۰
اخبار خوب برای ۲.۵ میلیارد طرفدار اندروید بههمینجا ختم نمیشود. در ابتدای سال جاری، استفانی کاتبرتسون (Stephanie Cuthbertson)، مدیریت بخش مدیریت محصولات برای اندروید، اعلام کرد که اندروید Q (که آن زمان به این نام خوانده میشد) درحدود ۵۰ ویژگی جدید خواهد داشت و تغییرات آن روی مسائل مربوطبه امنیت و حریم خصوصی متمرکز خواهد بود. کاتبرتسون در حرف خود صادق بود و ویژگیهای امنیتی و حریم خصوصی جدید و بسیاری به اندروید ۱۰ افزوده شدهاند. جزئیات برخی از این تغییرات را میتوان در وبسایت توسعهدهندگان اندروید Q مطالعه کرد. بیانیهای در این وبسایت وجود دارد که در آن آمده است:اندروید Q، شفافیت و تسلطی که کاربران بر دادهها و قابلیتهای اپلیکیشنها دارند را گسترش میدهد.
مهمترین تغییر ایجادشده، افزودن قابلیت «ذخیرهسازی محدود» (scoped storage) به سیستمعامل جدید است که این امکان را به کاربر میبخشد که کنترل بیشتری بر فایلهای خود داشته باشد. این کار تنها با اجازهی دریافت یک نمایش فیلترشده توسط اندروید از فهرست ویژهی اپلیکیشنها و انواع ویژهی فایلهای رسانهای ممکن میشود. علاوهبراین، کاربران کنترل بیشتری بر زمان استفادهی اپلیکیشنها از موقعیت مکانی دستگاه خواهند داشت. هرزمان که اپلیکیشنی از کاربران درخواست این دسترسی را میکند، آنها دو گزینه پیشرو خواهند داشت: تنها زمانیکه از اپلیکیشن استفاده میشود یا همیشه (بهعبارت دیگر، در پسزمینه این اتفاق میافتد).
اتفاق دیگری که در اندروید ۱۰ میافتد آن است که زمان آغازبهکار فعالیتها در پسزمینه محدود میشوند. این کار برای بهحداقلرساندن وقفهها در حین کار برای کاربر انجام میشود و میتواند کنترل بهتری از آنچه روی نمایشگر نشان داده میشود به کاربر ببخشد.
تغییراتی هم در چگونگی دسترسی اپلیکیشنها به دوربینها ایجاد شده است. اندروید ۱۰ اپلیکیشنها را ملزم کرده است که اجازهی دسترسی به دوربین داشته باشند تا بتوانند از متادادههای ویژهی هر دستگاه استفاده کنند. با معرفی اندروید ۱۰، اپلیکیشنها دیگر نخواهند توانست وایفای را فعال یا غیرفعال کنند؛ بلکه باید با استفاده از یک پنل تنظیمات از کاربر بخواهند که خودشان این کار را انجام بدهند. نکتهی دیگر آنکه تنظیمات دستی فهرست شبکههای وایفای اکنون محدود به اپلیکیشنهای سیستمی و کنترلکنندههای سیاست دستگاه خواهد بود. این کار با هدف محافظت حریم خصوصی کاربر انجام میشود.
طبق گزارشی که در سایت Wired منتشر شده است:گوگل اکنون توسعهدهندگان را ملزم کرده است که برای ردیابی کاربران، از شناسههایی با قابلیت تنظیم مجدد استفاده کند. به این صورت، اگر زمانی این اثرهای انگشت دیجیتالی بهخطر بیفتند یا اگر بخواهید صفحات دیجیتالی خود را تمیز کنید، مکانیزمی برای این کار وجود دارد.
تکامل امنیتی اندروید ۱۰
از لحاظ امنیتی، بهنظر میرسد اندروید ۱۰ بیشتر از آنکه تکامل را تجربه کند، دچار تحول شده است. قرار است همراهبا پلتفرم اندروید ۱۰ و بهعنوان بخشی از آن، یک طرح رمزگذاری بهنام Adiantum نیز معرفی شود. بدینترتیب، گوگل از تمام دستگاههای جدیدی که از جدیدترین نسخهی سیستمعامل اندروید بهره میبرند، خواهد خواست تا یا با استفاده از AES (با عملکرد ثابتشده) یا Adiantum (کارایی کافی برای اجرا روی دستگاههای دارای پردازندهی ARM سطح پایینتر را دارند) رمزگذاری شوند. این قانون شامل دستگاههای مجهزبه اینترنت اشیاء هم میشود.
گزارش بالا به چگونگی استفاده از کتابخانهی امنیتی جدید اندروید ۱۰ با بستههای Google Jetpack نیز اشاره میکند. هدف از این قابلیت جدید، کمک به توسعهدهندگان است تا امنیت را بهدرستی در اپلیکیشنهای خود تعبیه کنند؛ حتی اگر تخصص زیادی در این زمینه نداشته باشند. بهموازات معرفی جعبههای شنی که بهتازگی به استحکام آنها افزوده شده است (شامل جعبههای کوچک شنی که فرایندهای سیستمی و اجزای اپلیکیشنها را از هم جدا میکند)، از اهمیت موضوع افشای دادهها بین اپلیکیشنها کاسته شد.
سرانجام، خبر شادیبخش دیگر آن است که گوگل درحال انجام تغییراتی در نحوهی مدیریت بهروزرسانیهای امنیتی توسط اندروید 10 است. اجزای مهم سیستمعامل اکنون در پسزمینه بهروزرسانی میشود؛ این کار تا حد زیادی بههمان روش بهروزرسانی برنامهها انجام میشود و هدف از آن، انتقال سریع آخرین اصلاحات امنیتی به دستگاههای کاربر، بدون نیاز به لزوم راهاندازی دوبارهی دستگاه است. البته، قطعا این مورد جزء بیاهمیتترین موارد در فهرست مسائل اهمیتی نیست.