گوگل وجود ۱۹۳ آسیب‌پذیری امنیتی را در اندروید 10 تأیید کرد

بالاخره زمان حدس‌زدن درباره‌ی اینکه نام واقعی اندروید کیو (Android Q) چیست، به‌پایان رسید. درواقع دوران خود اندروید Q هم به‌پایان رسید. گوگل اعلام کرده که اندروید در حال تکامل است و در نتیجه، نسخه‌ی جدیدی از این سیستم‌عامل را طی چند هفته‌ی آتی منتشر خواهد کرد. نام اندروید جدید هم اندروید ۱۰ خواهد بود. سمیر سامات (Sameer Samat)، معاون بخش مدیریت محصولات در اندروید، گفته است:

نسخه‌های اولیه و اغواکننده‌ی بسیاری از «Q» وجود داشت، اما ما فکر می‌کنیم زمان آن رسیده است که در نسخه‌ی ۱۰ و نیز ۲.۵ میلیارد دستگاه فعال [که درحال‌حاضر وجود دارند]، این تغییر را ایجاد کنیم.

زمان آن هم رسیده است که کل ۱۹۳ آسیب‌پذیری امنیتی اندروید که گوگل بر لزوم برطرف‌سازی آن‌ها همراه‌با انتشار اندروید ۱۰ تأیید کرده هم موردتوجه قرار بگیرند.

آسیب‌پذیری‌های امنیتی اندروید ۱۰

یادداشت گوگل مبنی‌بر تأیید ناباورانه‌ی وجود آسیب‌پذیری‌های گوگل، روز بیستم اوت در به‌روزرسانی بولتن خبری امنیتی پروژه‌ی منبع‌باز اندروید (AOSP) منتشر شد. خبر بد آن است که تمامی ۱۹۳ آسیب‌پذیری امنیتی در اندروید که باید برطرف بشوند، طیف گسترده‌ای از موارد مربوط‌به ارتقای سطح دسترسی، اجرای کد از راه‌ دور، افشای اطلاعات و انکار دسته‌بندی خدمات را شامل می‌شود. دو مورد از این‌ها در خود زمان اجرای اندروید می‌گنجند و دو مورد دیگر نیز مربوط‌به کتابخانه هستند. ۲۴ مورد هم مربوط‌به فریم‌ورک هستند. با این‌ همه، تعداد بسیار زیادی از آن‌ها مربوط‌به فریم‌ورک رسانه‌ای اندروید (۶۸ مورد) و سیستم اندروید (۹۷ مورد) است. شدت ریسک همه‌ی این آسیب‌پذیری‌ها «متوسط» ارزیابی شده است.

خبر خوب هم آن است که همه‌ی آسیب‌پذیری‌های یادشده با وصله‌ی امنیتی پیش‌فرض اندروید ۱۰ سطح ۰۱-۰۹-۲۰۱۹ که در سیستم‌عامل جدید منتشر خواهد شد، قابل حل است. خبر دیگر آن است که در به‌روزرسانی بولتن خبری امنیتی گفته شده که هیچ گزارشی مبنی‌بر اکسپلویت یا سوءاستفاده‌ی فعال از این مسائل که به‌تازگی فاش شده‌اند، دریافت نشده است.

بهبود حریم خصوصی در اندروید ۱۰

اخبار خوب برای ۲.۵ میلیارد طرفدار اندروید به‌همین‌جا ختم نمی‌شود. در ابتدای سال جاری، استفانی کاتبرتسون (Stephanie Cuthbertson)، مدیریت بخش مدیریت محصولات برای اندروید، اعلام کرد که اندروید Q (که آن زمان به این نام خوانده می‌شد) درحدود ۵۰ ویژگی جدید خواهد داشت و تغییرات آن روی مسائل مربوط‌به امنیت و حریم خصوصی متمرکز خواهد بود. کاتبرتسون در حرف خود صادق بود و ویژگی‌های امنیتی و حریم خصوصی جدید و بسیاری به اندروید ۱۰ افزوده شده‌اند. جزئیات برخی از این تغییرات را می‌توان در وب‌سایت توسعه‌دهندگان اندروید Q مطالعه کرد. بیانیه‌ای در این وب‌سایت وجود دارد که در آن آمده است:

اندروید Q، شفافیت و تسلطی که کاربران بر داده‌ها و قابلیت‌های اپلیکیشن‌ها دارند را گسترش می‌دهد.

مهم‌ترین تغییر ایجادشده، افزودن قابلیت «ذخیره‌سازی محدود» (scoped storage) به سیستم‌عامل جدید است که این امکان را به کاربر می‌بخشد که کنترل بیشتری بر فایل‌های خود داشته باشد. این کار تنها با اجازه‌ی دریافت یک نمایش فیلترشده توسط اندروید از فهرست ویژه‌ی اپلیکیشن‌ها و انواع ویژه‌ی فایل‌های رسانه‌ای ممکن می‌شود. علاوه‌براین، کاربران کنترل بیشتری بر زمان استفاده‌ی اپلیکیشن‌ها از موقعیت مکانی دستگاه خواهند داشت. هرزمان که اپلیکیشنی از کاربران درخواست این دسترسی را می‌کند، آن‌ها دو گزینه پیش‌رو خواهند داشت: تنها زمانی‌که از اپلیکیشن استفاده می‌شود یا همیشه (به‌عبارت دیگر، در پس‌زمینه این اتفاق می‌افتد).

اتفاق دیگری که در اندروید ۱۰ می‌افتد آن است که زمان آغازبه‌کار فعالیت‌ها در پس‌زمینه محدود می‌شوند. این کار برای به‌حداقل‌رساندن وقفه‌ها در حین کار برای کاربر انجام می‌شود و می‌تواند کنترل بهتری از آنچه روی نمایشگر نشان داده می‌شود به کاربر ببخشد.

تغییراتی هم در چگونگی دسترسی اپلیکیشن‌ها به دوربین‌ها ایجاد شده است. اندروید ۱۰ اپلیکیشن‌ها را ملزم کرده است که اجازه‌ی دسترسی به دوربین داشته باشند تا بتوانند از متاداده‌های ویژه‌ی هر دستگاه استفاده کنند. با معرفی اندروید ۱۰، اپلیکیشن‌ها دیگر نخواهند توانست وای‌فای را فعال یا غیرفعال کنند؛ بلکه باید با استفاده‌ از یک پنل تنظیمات از کاربر بخواهند که خودشان این کار را انجام بدهند. نکته‌ی دیگر آنکه تنظیمات دستی فهرست شبکه‌های وای‌فای اکنون محدود به اپلیکیشن‌های سیستمی و کنترل‌کننده‌های سیاست دستگاه خواهد بود. این کار با هدف محافظت حریم خصوصی کاربر انجام می‌شود.

طبق گزارشی که در سایت Wired منتشر شده است:

گوگل اکنون توسعه‌دهندگان را ملزم کرده است که برای ردیابی کاربران، از شناسه‌هایی با قابلیت تنظیم مجدد استفاده کند. به‌ این‌ صورت، اگر زمانی این اثرهای انگشت دیجیتالی به‌خطر بیفتند یا اگر بخواهید صفحات دیجیتالی خود را تمیز کنید، مکانیزمی برای این کار وجود دارد.

تکامل امنیتی اندروید ۱۰

گزارش بالا به چگونگی استفاده‌ از کتابخانه‌ی امنیتی جدید اندروید ۱۰ با بسته‌های Google Jetpack نیز اشاره می‌کند. هدف از این قابلیت جدید، کمک به توسعه‌دهندگان است تا امنیت را به‌درستی در اپلیکیشن‌های خود تعبیه کنند؛ حتی اگر تخصص زیادی در این زمینه نداشته باشند. به‌موازات معرفی جعبه‌های شنی که به‌تازگی به استحکام آن‌ها افزوده شده است (شامل جعبه‌های کوچک شنی که فرایندهای سیستمی و اجزای اپلیکیشن‌ها را از هم جدا می‌کند)، از اهمیت موضوع افشای داده‌ها بین اپلیکیشن‌ها کاسته شد.

سرانجام، خبر شادی‌بخش دیگر آن است که گوگل درحال انجام تغییراتی در نحوه‌ی مدیریت به‌روزرسانی‌های امنیتی توسط اندروید 10 است. اجزای مهم سیستم‌عامل اکنون در پس‌زمینه به‌روزرسانی می‌شود؛ این کار تا حد زیادی به‌همان روش به‌روزرسانی برنامه‌ها انجام می‌شود و هدف از آن، انتقال سریع آخرین اصلاحات امنیتی به دستگاه‌های کاربر، بدون‌ نیاز به لزوم راه‌اندازی دوباره‌ی دستگاه است. البته، قطعا این مورد جزء بی‌اهمیت‌ترین موارد در فهرست مسائل اهمیتی نیست.