[ شرح ] احذر فتح الصور بصيغة PNG عبر أندرويد


  • الـلـهـم انـصـر اخـوانـنـا الـمـسـلـمـيـن فـي بـورمـا وكـن مـعـهـم يـاربـاه يـاربـاه

BDR

:: عضو جديد ::
28 أغسطس 2019
27
23
KSA
0
السلام عليكم ورحمة الله وبركاته

اطلعت على الموضوع وأهميته لمستخدمي نظام الأندرويد فاحببت أن احذر أعضاء المنتدى عن هذا الثغرة في نظام الأندرويد من خلال صورة امتداد PNG والذي يستخدم بكثرة لدى المصممين لخصائص بهذا الامتداد

أن فتح الصور بصيغة PNG على أجهزة وهواتف أندرويد أصبح أمر محفوف بالمخاطر وقد يؤدي إلى تلف ملفات النظام أو تسريب بياناتك المهمة
أو إلحاق ضررًا بالجوّال
ومن المستغرب قدرة الفيروس بتحايل على برامج مكافحة الفيروسات حتى يصبح غير قابل للكشف.

الجميع يعلم أن نظام أندرويد مفتوح المصدر وشائع فكونهُ مفتوح يكون مستهدف أكثر من القراصنة ومنشئي الفيروسات والثغرات الأمنية الخطيرة كما أنه لهذا النظام تاريخ طويل مع الفيروسات والمشاكل الأمنية إلا أن اختراق المستخدمين عبر فتح الصور بصيغة PNG قد تكون أغرب مشكلة أمنية.

إذ أبلغت شركة جوجل مؤخرًا عبر المدونة رسمية أن هناك طريقة جديدة يمكن أن تسمح للقراصنة بالهجوم على أجهزة Android الذكية بإستخدام الصور ذات صياغة PNG الملغمة حيث يسمح خلل رئيسي في نظام أندرويد للمهاجم بتنفيذ كود برمجي عن بعد بواسطة ملف صورة PNG تم تصميمه بشكل ضار لتهريب الشفرة البرمجية داخل الجهاز دون اكتشافها من قبل تطبيق مكافحة الفيروسات.

وتبدو التدوينة التي نشرتها جوجل إن هذه المشكلة هي أكثر نقاط الضعف الأمنية أهمية التي يجب معالجتها في أسرع وقت ممكن فمن السهل جدًا استغلال هذا الخلل وانتشاره بين عدد كبير من الضحايا حيث يمكن أن يرسل المخترق ملف PNG ملغم بواسطة البريد الإلكتروني أو تطبيقات الدردشة والمراسلة أو وسائل التواصل الاجتماعي وبمجرد أن يبدأ تشغيل الفيروس سوف يستحوذ على صلاحيات عالية المستوى
تجعل المخترق يتحكم في الضحية
ليست هذه هي المرة الأولى التي تظهر فيها الأبحاث الأمنية أن فتح الصور بصيغة PNG
له تأثير خطير على نظام التشغيل حيث أظهر الخبراء من قبل أنه بإمكانك تشفير برنامج ضار داخل الصور كطريقة للتهرب من تطبيقات مكافحة الفيروسات باعتبارها تتخطى فحص الصور وبالتالي يمكن للتطبيق المنفصل بعد ذلك قراءة الصورة بشكل طبيعي وفك تشفيرها لإطلاق البرنامج الضار المخفي داخل النظام للعبث به.
وبالنسبة للخلل الموجود في نظام أندرويد على وجه التحديد فهو يعتبر واحد من أهم ثلاث نقاط ضعف تم إكتشافها في نظام أندرويد مؤخرا كما اطلقت شركة جوجل التحديث الأمني لأجهزتها Google Pixel والتي بالتأكيد تمت فيها التغلب على المشكلة اما بالنسبة لهواتف أندرويد القديمة فهي عرضة لهذا الهجوم للأبد بسبب إنتهاء صلاحية الدعم وبالتالي لم تعد تحصل على تحديثات أمنية ولم تنشر شركة جوجل أي تفاصيل فنية عن هذا الخلل مما يعني أنه لن يكون من السهل على أي شخص إكتشاف طريقة الاختراق هذه كما لم تتلق الشركة أي تقارير أو بلاغات حتى الآن عن حالات التعرض للاختراق بسبب استغلال هذه الثغرة.

خلاصة الموضوع
ابحث فورا عن اخر تحديث لنظام الاندرويد بحسب شركة جوالك لانه بالتحديث ستغلق الثغرة والحذر من الصور بصيغة PNG

بالتوفيق للجميع

منقول
 
التعديل الأخير بواسطة المشرف:

Mr.Ali

Oops
طاقم الإدارة
3 يوليو 2019
6,412
349
0
فعلاً التحديثات دوماً وعدم التحميل من مصادر مجهولة :637462:
 
  • أعجبني
التفاعلات: BDR

panda

:: عضو ::
12 يناير 2019
79
52
0
انا فعلا في واحد صاحبي من كام شهر كدا قالي انا فتحت صورة بعدها حسيت ان الموبايل بتاعي بااااظ قولتله مستحيل يتم اختراقك عن طريق صورة بصيغة من صيغ ملفات الصور مثل png او jpg الي اخره بس دلوقتي إتأكدت من الموضوع -_-
 
  • أعجبني
التفاعلات: BDR

trojan313

مشارك
31 أغسطس 2019
87
91
0
شكرا لك على طرح اتمنى ان تكون ثغرة جديدة وان تطرح POC كما قال الاخ بشار لاني انا بتذكر اخر مره قرأت مثل هذا خبر سنة 2011 على موقع hackernews
 
  • أعجبني
التفاعلات: BDR

BDR

:: عضو جديد ::
28 أغسطس 2019
27
23
KSA
0
الله يعطيك العافية اخي الحبيب ..
لو احد حصل منكم على sample ياريت يرسله لي
ويعطيك الف عافيه اخي بشار
اعتقد هالموضوع اخي بشار يناسب خبراتك وعندي يقين انك حتفاجأنا بخبر حصولك على كود الثغرة .. تحيتي
 

BDR

:: عضو جديد ::
28 أغسطس 2019
27
23
KSA
0
انا فعلا في واحد صاحبي من كام شهر كدا قالي انا فتحت صورة بعدها حسيت ان الموبايل بتاعي بااااظ قولتله مستحيل يتم اختراقك عن طريق صورة بصيغة من صيغ ملفات الصور مثل png او jpg الي اخره بس دلوقتي إتأكدت من الموضوع -_-
اهلا بك اخي باندا .. الموضوع لم ينتشر ولولا تدوينة جوجل وذكرها الثغرة لكان الخبر مخفي عن الجميع .. تحيتي لك
 
  • أعجبني
التفاعلات: panda

BDR

:: عضو جديد ::
28 أغسطس 2019
27
23
KSA
0
شكرا لك على طرح اتمنى ان تكون ثغرة جديدة وان تطرح POC كما قال الاخ بشار لاني انا بتذكر اخر مره قرأت مثل هذا خبر سنة 2011 على موقع hackernews
اهلا بك اخي تروجان313
الثغرة لم تكتشف إلا هذا العام في فبراير .. واذا كان خبر الثغرة صحيح من موقع أخبار الهاكر لعام 2011 •• فاعتقد وأكاد أجزم ان هواتفنا الذكية قد تم اصطيادها .. تحيتي
 

BDR

:: عضو جديد ::
28 أغسطس 2019
27
23
KSA
0
اقترح على اخي الادمن إنشاء قسم أو موضوع ويُثبت عن
" ثغرات الاندرويد وطرق حلها "
ولاخي مشرف القسم حرية التصرف بنقل او دمج هذا الخبر مع سابقه عن ثغرات الاندرويد.

وتعقيبا لثغرات الاندرويد في شهر سبتمبر 2019 تم اكتشاف ثغرة الرسائل النصية القصيرة نص الخبر :

2159


تمكن فريق "Check Point Research"، من اكتشاف ثغرة في الرسائل النصية القصيرة، أصابت عدداً من الهواتف العاملة بنظام "الأندرويد"، لتنصيب إعدادات مخصصة تتيح للقراصنة اعتراض البريد الالكتروني في هواتف شركة "هواوي" و"سامسونغ" و"إل جي" و"سوني".

وتم بناء الهجوم عبر استغلال المعيار العام المستخدم من قبل مزودي خدمات الاتصالات لتزويد الهواتف الذكية الجديدة بالإعدادت، حيث تختلف طريقة استهداف الهاتف تبعاً لنوعه والبيانات المتوفرة عنه، مثل رمز "PIN" وكذلك هوية الهاتف أو رقم تعريفة على الشبكة الخليوية "IMSI". وبالتالي بعد توفر المعلومات المطلوبة يتم خداع المستخدم عبر رسالة تظهر وكأنها رسالة إعدادات خاصة بتغيير وضبط الشبكة.

بأذن الله سنواصل طرح الثغرات المكتشفة لنظام الاندرويد و نظام iOS للايفون

تحيتي​
 
  • أحببته
التفاعلات: ๖ۣۜA M E E R

trojan313

مشارك
31 أغسطس 2019
87
91
0
اقترح على اخي الادمن إنشاء قسم أو موضوع ويُثبت عن
" ثغرات الاندرويد وطرق حلها "
ولاخي مشرف القسم حرية التصرف بنقل او دمج هذا الخبر مع سابقه عن ثغرات الاندرويد.

وتعقيبا لثغرات الاندرويد في شهر سبتمبر 2019 تم اكتشاف ثغرة الرسائل النصية القصيرة نص الخبر :

مشاهدة المرفق 2159


تمكن فريق "Check Point Research"، من اكتشاف ثغرة في الرسائل النصية القصيرة، أصابت عدداً من الهواتف العاملة بنظام "الأندرويد"، لتنصيب إعدادات مخصصة تتيح للقراصنة اعتراض البريد الالكتروني في هواتف شركة "هواوي" و"سامسونغ" و"إل جي" و"سوني".

وتم بناء الهجوم عبر استغلال المعيار العام المستخدم من قبل مزودي خدمات الاتصالات لتزويد الهواتف الذكية الجديدة بالإعدادت، حيث تختلف طريقة استهداف الهاتف تبعاً لنوعه والبيانات المتوفرة عنه، مثل رمز "PIN" وكذلك هوية الهاتف أو رقم تعريفة على الشبكة الخليوية "IMSI". وبالتالي بعد توفر المعلومات المطلوبة يتم خداع المستخدم عبر رسالة تظهر وكأنها رسالة إعدادات خاصة بتغيير وضبط الشبكة.

بأذن الله سنواصل طرح الثغرات المكتشفة لنظام الاندرويد و نظام iOS للايفون

تحيتي​
شكرا لك على طرح مبدئياَ ثغرات قابلة تطوير وانتا من ثغرة بتطلع فكرة جديدة وثغرة جديدة بسهولة يعني قرأت موضوع عن ثغرات الاندرويد سنة 2011 وهي نفس ثغرة سنة هاي تمام ولكن طريقة الاستهداف عن طريق صورة من خلال ارسال رسالة MSS وليس sms لان sms لا تستطيع تضمينها وسائط اما MSS بالامكان ارسال وسائط بسهولة واعتقد طريقة حماية من هذه ثغرات اولاَ بكل عالمنا عربي ما في حدا بيستخدم MSS الا قلة كان يعني واحد لما توصله رسالة من رقم غير معروف يكون محتواها وسائط ما يفتحها ويكتفي في حذفها وطبعا بخصوص ترقيع ثغرة اعتقد كنظام الاندرويد ماله علاقة لو تم تحديثه لانو هيك بتكون ثغرة نظام بس اما حسب معرفتي ثغرة بتكون في مستعرض صور الحل تحديث مستعرض الصور الخاص في الهاتف للحماية من ثغرة اما بخصوص فتح قسم خاص بالاندرويد انا مع هاي فكرة بس يكون قسم ذو محتوى ويكون لكل يشارك بثغرات وحيل في نظام الاندرويد لانو اصبح عالم كله وجميع اسرار ناس على هواتف الذكية
 
  • أعجبني
التفاعلات: BDR

BDR

:: عضو جديد ::
28 أغسطس 2019
27
23
KSA
0
اخي الفاضل تروجان313

فكرة الثغرة وخطورتها هي استقبالك لصورة بامتداد png
باي وسيلة كانت ولانها صيغة موثوقة بنظام الاندرويد لا يتم فحصها وهنا الخطر الفعلي

اتمنى وصلت لك فكرة الثغرة

تحيتي​
 
  • أعجبني
التفاعلات: ๖ۣۜA M E E R

trojan313

مشارك
31 أغسطس 2019
87
91
0
اخي الفاضل تروجان313

فكرة الثغرة وخطورتها هي استقبالك لصورة بامتداد png
باي وسيلة كانت ولانها صيغة موثوقة بنظام الاندرويد لا يتم فحصها وهنا الخطر الفعلي

اتمنى وصلت لك فكرة الثغرة

تحيتي​
اخي وصلت فكرتك وانا كشخص فاهم هذه الحيل اكيد لا اقل ولكن 90% من مستخدمين العاديين سوف يقعون مصيدة ولكن نريد سؤال لماذا كل اكتشافات هي من قبل فريق الاجنبي لماذا لا يكون اكتشاف عربي ماذا عن لو تم تكوين فريق عربي خاص في اكتشاف ثغرات بكافة انواعها ستكون ساحة عربية ومليئة بالانجازات
 

BDR

:: عضو جديد ::
28 أغسطس 2019
27
23
KSA
0
عزيزي تروجان313
المسألة مش اكتشاف ثغرات او إصلاحها .. كل اللي بيحصل هو تضارب مصالح بين الشركات المموله من دول واكيد الخطط مدروسة بعناية واخر مثال شركة هواوي والحرب عليها بكل الطرق
 

إخلاء مسؤلية

  • المنتدى غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به protection-tips غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه التعليقات المنشورة لا تعبر عن رأي معهد المنتدى ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر).).

الإنتقال السريع

User Menu

تابعنا على الفيسبوك