كشف باحثون من شركة Quokka عن مجموعة من الثغرات الأمنية الحرجة في إطارات الصور الرقمية العاملة بنظام أندرويد من شركة Uhale، يمكن أن تسمح للمهاجمين بالتحكم الكامل في الأجهزة، بما يشمل إصابتها بالبرمجيات الخبيثة، سرقة البيانات، ضمّها إلى شبكات البوت نت، أو استخدامها كنقطة انطلاق للهجمات على أنظمة أخرى داخل الشبكة.
تفاصيل الثغرات المكتشفة
الباحثون ريان جونسون ودوغ بينيت ومحمد الصباغ أوضحوا أن الأجهزة تعاني من مشكلات متعددة، أبرزها:
- تسليم تلقائي للبرمجيات الخبيثة عند الإقلاع في بعض الأجهزة.
- ثغرات تنفيذ أوامر عن بُعد (RCE) بسبب مديري ثقة غير آمنين وتنفيذ أوامر غير مُعقمة.
- إمكانية الكتابة العشوائية للملفات نتيجة عمليات نقل غير موثقة وغير مُعقمة.
- إعدادات خاطئة لمزوّدات الملفات.
- ثغرات SQL Injection.
- استخدام خوارزميات تشفير ضعيفة.
من بين 17 مشكلة تم رصدها، حصلت 11 منها على معرفات CVE رسمية، ما يعكس خطورتها وانتشارها.
التطبيق المرتبط بالبرمجيات الخبيثة
أخطر ما كشفه التقرير أن تطبيق Uhale (الإصدار 4.2.0) يقوم بتنزيل ملفات مشبوهة يتم تنفيذها لاحقًا عبر خدمة تحمل تشابهًا في البادئة مع برمجية خبيثة تُعرف باسم Mzmess، وهي برمجية مرتبطة بشبكة البوت نت Vo1d. هذا التشابه يثير مخاوف من أن التطبيق قد يكون قناة مباشرة لتوزيع برمجيات ضارة.
رد الشركة وخطط الإصلاح
شركة Uhale أكدت أنها أصلحت غالبية الثغرات في الإصدار 4.2.1، مع خطط لإصلاحات إضافية في الإصدار 5.1.0. أما الإصدار الحالي للتطبيق فهو 4.33، ما يعني أن بعض الإصلاحات قد تكون متاحة بالفعل للمستخدمين، لكن الحاجة لا تزال قائمة لتحديثات شاملة.
