اپلیکیشن و نرم‌افزار

آسیب‌پذیری شناسایی شده در چیپست مدیاتک رفع شد

محققان Check Point مقاله‌ای را منتشر کردند که در آن یک آسیب‌پذیری را که توسط MediaTek در ماه اکتبر اصلاح شد، توضیح داد. این آسیب‌پذیری می‌تواند منجر به دسترسی غیرمجاز مهاجم به فرآیند هک شود. این مشکل در پردازنده مدیاتک مربوط به هوش مصنوعی و پردازش صدا است و برنامه های با کدگذاری مناسب می توانند به اطلاعات صوتی در سطح سیستم دسترسی داشته باشند. خوشبختانه این آسیب پذیری توسط مدیاتک برطرف شده است.

برنامه های پیچیده تر و قدرتمندتر حتی می توانند حمله شنود را راه اندازی کنند. تحقیقات محققان Checkpoint نشان می دهد که این آسیب پذیری بسیار پیچیده بود و تیم تحقیقاتی مجبور به مهندسی معکوس این فرآیند شدند. به طور خلاصه، یک برنامه تنها در صورتی می تواند دستورات را به رابط صوتی ارسال کند و اطلاعات کاربر را بازیابی کند که مهاجمان از مجموعه ای از آسیب پذیری ها در سخت افزار مدیاتک آگاه باشند.

هیچ گزارشی از چنین حملاتی وجود ندارد و دارندگان فعلی دستگاه های مجهز به مدیاتک نباید نگران باشند، زیرا این شرکت قبلاً این آسیب پذیری را با به روز رسانی در ماه اکتبر برطرف کرده است. مدیاتک یا سایر محققان لیستی از دستگاه ها یا تراشه های آسیب دیده در اثر حمله منتشر نمی کنند.

اما در مقاله ای در مورد پست های بازرسی، تراشه های مبتنی بر پلت فرم به اصطلاح APU Tensilica به عنوان قربانی ذکر شدند. جالب اینجاست که تراشه‌های Huawei HiSilicon Kirin وجود دارند که بر روی یک پلتفرم اجرا می‌شوند، اما هیچ اطلاعاتی در مورد آسیب‌پذیر بودن یا نبودن آنها در برابر چنین حملاتی وجود ندارد.

اکنون که در مورد این مشکل صحبت کردیم، بد نیست به مفهوم بهبود دسترسی به حملات سایبری نگاهی بیاندازیم. ارتقای دسترسی زمانی اتفاق می افتد که یک کاربر مخرب از یک خطا، نقص طراحی یا خطای پیکربندی در یک برنامه یا سیستم عامل استفاده می کند تا به منابعی که معمولاً در دسترس آن کاربر نیست دسترسی بالایی داشته باشد. سپس هکر می تواند از امتیازات تازه به دست آمده برای سرقت اطلاعات محرمانه، اجرای دستورات سیستم یا نصب بدافزار استفاده کند که به طور بالقوه می تواند آسیب جدی به سیستم عامل، برنامه های کاربردی سرور، سازمان و شهرت شما وارد کند.

هکرها با سوء استفاده از یک آسیب پذیری در یک سیستم یا برنامه هدف شروع می کنند که به آنها اجازه می دهد محدودیت های حساب موجود را دور بزنند. سپس این افراد می توانند به سایر قابلیت ها و داده های کاربر دسترسی داشته باشند (سطح دسترسی را به صورت افقی افزایش دهند) یا به طور معمول از مدیر سیستم یا کاربرانی که دسترسی بالاتری دارند امتیاز بیشتری کسب کنند (افزایش امتیاز عمودی). چنین افزایشی در امتیازات معمولاً تنها یکی از اقداماتی است که برای آماده شدن برای حمله اصلی انجام می شود.

با افزایش سطح دسترسی افقی، هکرها در همان سطح امتیاز عمومی کاربر باقی می مانند، اما می توانند به داده ها یا سایر حساب هایی که نباید برای حساب جاری در دسترس باشند دسترسی داشته باشند. به عنوان مثال، برای برنامه های تحت وب، این می تواند دسترسی به حساب کاربر دیگری در یک سایت اجتماعی یا پلت فرم تجارت الکترونیکی یا حساب بانکی او در یک سایت بانکداری الکترونیکی باشد.

افزایش عمودی امتیاز به طور بالقوه خطرناک تر است زمانی که هکر با حسابی با رتبه پایین تر شروع به کار کند و به کاربر قدرتمندتری دسترسی پیدا کند، معمولاً یک مدیر یا کاربر سیستم مایکروسافت ویندوز، یا ریشه سیستم های یونیکس و لینوکس. .

آسیب پذیری مدیاتک

با این امتیازات بالاتر، مهاجم می تواند انواع آسیب ها را به سیستم ها و برنامه های رایانه شما وارد کند، مانند سرقت دسترسی و سایر اطلاعات حساس، بارگیری و اجرای بدافزار، پاک کردن داده ها یا اجرای کد دلخواه. بدتر از آن، هکرهای با تجربه می توانند با حذف گزارش های دسترسی و سایر شواهد مربوط به فعالیت های خود، از امتیازات بالایی برای پوشش مسیرهای خود استفاده کنند.

این به طور بالقوه می تواند قربانی را از اینکه اصلاً حمله ای صورت گرفته است غافل کند. به این ترتیب مجرمان سایبری قادر خواهند بود اطلاعات را مخفیانه بدزدند یا بدافزار را مستقیماً در سیستم ها نصب کنند. ارتقاء سطوح دسترسی معمولاً هدف نهایی یک هکر نیست، اما افزایش دسترسی اغلب برای آماده‌سازی برای یک حمله خاص‌تر استفاده می‌شود و به مهاجمان اجازه می‌دهد بدافزار نصب کنند یا کدهای مخرب را روی سیستم اجرا کنند. این بدان معنی است که هر بار که شواهدی مبنی بر افزایش دسترسی به سیستم های خود پیدا کردید، باید به دنبال سایر نشانه های فعالیت مخرب باشید.

منبع: GSMArena

.

مشاور سئو و طراحی سایت

سلام امید دندان نما هستم مشاور بازاریابی و متخصص طراحی سایت و سئو که در سال 81 وارد دنیای برنامه نویسی شدم و از سال 1386 وارد دنیای بازاریابی و مدرک لیسانس ارتباطات از روی علاقه رفتم گرفتم

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا