مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، نسبت به نشت اطلاعات حساس در سیستم عامل اندروید و دسترسی برنامه های نصب شده به اطلاعات گوشی کاربر هشدار داد.

 اخیرا مشاهده شده که سیستم درونی پخش اطلاعات (System broadcasts) در سیستم عامل اندروید اطلاعات حساس کاربر و جزییات دستگاه را ممکن است در معرض افشا قرار دهد و برنامه‌ های نصب شده روی گوشی می‌ توانند بدون اطلاع کاربر و یا اجازه وی به این اطلاعات دسترسی پیدا کنند.

اطلاعات نشت شده شامل نام شبکه WiFi متصل، BSSID شبکه WiFi، آدرس IP محلی، اطلاعات سرور DNS و آدرس MAC دستگاه است. اگرچه این نوع داده‌ ها ممکن است در ظاهر بی اهمیت باشند، اما از آنها می‌ توان برای ردیابی آنلاین کاربران و تعیین مکان دقیق یک کاربر استفاده کرد.

برنامه‌ های نصب شده روی یک گوشی اندروید (همچنین مولفه‌ های تبلیغاتی آنها) می‌ توانند این دو intents را دریافت کنند و اطلاعات مرتبط با وای فای کاربر را حتی در صورتی که هنگام نصب به آن‌ ها چنین دسترسی داده نشده باشد، دریافت کنند.

از آنجا که نشت این اطلاعات بدون اجازه کاربر به برنامه‌ ها، دسترسی به اطلاعات حساس را فراهم می‌ کند، این امر سیستم مجوزدهی اندروید را بطور کامل تحت تاثیر قرار می‌ دهد؛ برای مثال یک مهاجم می‌ تواند با نصب برنامه‌ ای در سیستم قربانی، اطلاعات WiFi وی را استخراج کند و از طریق شناسه BSSID قربانی، مکان دقیق او را به دست آورد.

این نقص امنیتی در تمام نسخه‌ های فعلی اندروید وجود دارد. پژوهشگران این نقص را که با CVE-۲۰۱۸-۹۴۸۶ شناسه شده است، در ماه مارچ به گوگل گزارش کرده‌ اند.

گوگل اعلام کرده است که نقص نشت اطلاعات وای فای (WiFi) را تنها در اندروید 9 (Pie) برطرف خواهد کرد.

منبع : کلیک