سامسونگ گلکسی اس 22 در کمتر از یک دقیقه هک می‌شود!

گوشی‌های سامسونگ دارای سیستم امنیت سخت افزاری داخلی هستند که به نام “ناکس” (Knox security) شناخته می‌شود و تقریباً همه گوشی‌های هوشمند میان‌رده و پرچم‌دار این برند کره‌ای دارای چنین ویژگی خاصی هستند. اما با این حال، هکرهایی که در مسابقات هک Pwn2Own شرکت داشتند، به طرز شگفت‌آوری توانستند آسیب‌پذیری‌های روز صفر زیادی را در گلکسی اس 22 پیدا کنند! (آسیب‌پذیری Zero-Day یا روز صفر یک ریسک امنیتی در یک قطعه نرم‌افزار است که به صورت عمومی شناخته شده نیست و شرکت سازنده از آن آگاهی ندارد و از همین رو استفاده از چنین آسیب‌پذیری‌هایی عموماً نرخ موفقیت بالایی برای هکرها دارد). این مسابقات در حال حاضر در شهر تورنتو از کشور کانادا ادامه دارد. با دیجی رو همراه باشید.

Zero Day Initiative (به اختصار ZDI) همه ساله میزبان مسابقات هک Pwn2Own است تا در آن، مهارت‌های محققان امنیتی و هکرها در کشف آسیب‌پذیری‌های روز صفر به چالش کشیده می‌شود. تاکنون، به لطف هکرهای شرکت کننده در این رویداد، آسیب‌پذیری‌های مهمی در دستگاه‌های NAS (ذخیره‌سازی متصل به شبکه) از کمپانی نام آشنای HP، نت‌گیر (NETGEAR)، ساینالوژی (Synology)، سونوس (Sonos)، تی پی لینک (TP-Link)، کانن (Canon)، لکسمارک (Lexmark) و وسترین دیجیتال (Western Digital) کشف شده است.

گوشی هوشمند پرچمدار سامسونگ، یعنی گلکسی اس 22 نیز توسط بسیاری از هکرها مورد بررسی گرفت و به سرعت نقص‌های امنیتی آن کشف شدند. اما در این بین، دو نقص مهم در گلکسی اس 22 توسط تیم STAR Labs و تیم Chim فاش شد. این اتفاق در اولین روز Pwn2Own رخ داد و به هکرها امکان دسترسی کامل به این گوشی رده بالا را داد. تیمی به نام Pentest Limited نیز موفق شد یک بار دیگر گوشی هوشمند نگون بخت سامسونگ را در روز دوم هک کند.

اما عجیب‌ترین اتفاق در روز سوم مسابقات رخ داد؛ جایی که گلکسی اس 22 در کمتر از 55 ثانیه با موفقیت هک شد و این اتفاق تاکنون چهار بار در این رقابت‌ها رخ داده است! حفره‌های امنیتی عمده در پرچمدار سامسونگ باعث شده تا این دستگاه به کانون توجه هکرها در رقابت‌های Pwn2Own تبدیل شود. آسیب‌پذیری‌های روز صفر کشف شده در این گوشی نشان می‌دهد که هک شدن آن در کمتر از یک دقیقه کاملاً امکان‌پذیر است و کارشناسان امنیتی Pentest Limited نیز ادعا کرده‌اند که آن‌ها با حمله به بخش “اعتبار سنجی ورودی نامناسب” (improper input validation) توانسته‌اند به محتوای گوشی دسترسی پیدا کنند.

لازم به ذکر است که بر اساس قوانین مسابقه Pwn2Own، دستگاه مورد بررسی باید از جدیدترین نسخه سیستم عامل اندروید و همچنین آخرین به‌روزرسانی ارائه شده از سوی شرکت سازنده استفاده کند. همچنین، بد نیست بدانید که کارشناسان امنیتی هک کننده گلگسی اس 22، برای تحقیقات خود 25000 دلار جایزه و پنج امتیاز دریافت کردند. با اینکه شرکت کنندگان در مسابقات Pwn2Own از خبره‌ترین افراد حوزه هک و امنیت هستند، اما هک شدن کامل گلکسی اس 22 در کمتر از یک دقیقه، نشان می‌دهد که برخلاف ادعاهای سامسونگ این گوشی دارای نقص‌های امنیتی قابل توجهی است.