گزارش باگ در سال 2015

این باگ برای اولین بار توسط محققین امنیتی مرکز پژوهشی Nightwatch Cybersecurity در قالب یک بلاگ‌پست پرونده‌سازی شد. پژوهشگران، آن زمان پی بردند که رشته‌های عامل کاربری (User-Agent strings) کرومِ اندرویدی در مقایسه با رشته‌های عامل کاربری ورژن‌های دسکتاپی، حاوی اطلاعات بیشتری‌اند. جدا از اطلاعات مرورگر کروم و اطلاعات مربوط به شماره نسخه‌ی سیستم‌عامل، رشته‌های عامل کاربری کرومِ اندرویدی همچنین حاوی اطلاعات مربوط به نام دستگاه و شماره‌ی ساخت سفت‌افزاری آن نیز بودند.

برای نمونه: ST26i Build/LYZ28K

در معرض قرار دادن نام‌های دستگاه مانند ST26i خطرناک است؛ زیرا اینها صرفاً یک سری لغات و اصطلاحات عمومی نیستند. از نام‌‌ دستگاه‌ها خیلی راحت می‌توان به مدل‌های اسمارت‌فون پی برد (بر اساس فهرست‌های عمومی از قبل‌شناخته‌شده همچون نمونه‌ای که ارائه شد).

اما بزرگ‌ترین مشکل، در معرض قرار دادن شماره‌ی ساخت سفت‌افزاری بود.

محققین Nightwatch در بلاگ‌پستی که در طول تعطیلات کریسمس آپدیت شد اینطور نوشتند: «برای بسیاری از دستگاه‌ها، در معرض قرار دادن شماره‌ی ساخت سفت‌افزاری نه تنها می‌تواند دستگاه را شناسایی کند بلکه همچنین اپراتوری که آن را راه‌اندازی نموده (و کشور را) نیز تشخیص دهد. شماره‌‌های ساخت را می‌توان خیلی راحت از شرکت‌های تولیدکننده و یا وبسایت‌های اپراتور تلفن بدست آورد. از نمونه‌ی بالا خیلی راحت می‌توان تشخیص داد که سازه‌ی  LYZ28K در حقیقت نکسوس 6 از اپراتور تی‌موبایل (واقع در آمریکا) است».

اکسپلویت هدف‌دار

علاوه بر این، دانستن شماره‌ی ساخت بدین معناست که مهاجمین همچنین می‌توانند شماره‌ی دقیق سفت‌افزار را شناسایی نموده و به طور غیرمستقیم سطح پچ امنیتی آن دستگاه را تشخیص دهند (همچنین می‌توانند بفهمند این دستگاه نسبت به کدام موارد از خود آسیب‌پذیری نشان می‌دهد). چنین اطلاعاتی برای آن دسته از مجرمان سایبری که کیت‌های اکسپلویت مبتنی بر وب اجرا می‌کنند (EKs) و همچنین برای هکرهای دولتی که با اهدافی بزرگ‌تر سعی دارند وبسایت‌های تسلیحاتی را به دام اندازند از اهمیت بسیار بالایی برخوردار است.

این نوع اطلاعاتِ حساس از همان ابتدا برای برطرف‌ کردن باگ‌ها و مقاصد تحلیلی هرگز نباید از طریق رشته‌های عامل کاربری در دسترس قرار می‌گرفت.

تغییر رویه

گرچه گوگل از همان ابتدا به محققین Nightwatch گفته بود که کرومِ اندرویدی درست طبق برنامه پیش می‌رود اما تابستان جاری این شرکت نظر خود را عوض کرد: مهندسین گوگل (خودشان به تنهایی) پروسه‌ای را پیش بردند که در آن، دست کم شماره‌ی ساخت از روی رشته‌ی عامل کاربری کرومِ اندرویدی برداشته می‌شد. این اصلاحیه بدون بی‌هیچ سر و صدایی اواسط اکتبر 2018 برای کاربران اندرویدی ارسال شد. با این حال، این پچ هنوز کامل نیست. رشته‌های نام دستگاه همچنان فهرست می‌شوند. علاوه بر اینها، هم نام دستگاه و هم شماره‌ی ساخت همچنان در WebView و Custom Tabs (دو اجزای اندرویدی کهدر واقع نسخه‌های جمع و جور‌شده‌ی موتور کروم هستند) وجود دارند. سایر اپ‌ها می‌توانند کد خود را داخل این دو بخش جاگذاری کنند تا کاربران بتوانند با استفاده از مرورگر درون‌سازه‌ای کروم‌مانند، محتوای وب را ببینند.

درست است که Custom Tabs این روزها به ندرت مورد استفاده قرار می‌گیرد اما WebView به شدت طرفدار دارد و تا به حال مرورگر درون‌سازه‌ایِ اپ‌های محبوبی چون فیسبوک، توییتر، فلیپ‌بورد و غیره بوده است.

گرچه این نقص امنیتی مستقیماً متوجه کاربران نمی‌شود اما آن دسته از کاربرانی که برای حریم خصوصی‌‌شان ارزش زیادی قائل‌اند می‌بایست نسبت به این نقص اطلاعاتی آگاه باشند و به جای کروم یا WebView از مرورگر دیگری استفاده کنند.

یک پچ موقتی می‌تواند گوگل کرومِ اندرویدی را طوری تنظیم کند که -زمانیکه کاربران از طریق گوشی به وبسایت‌ها سر می‌زنند- از گزینه‌ی Request Desktop Site استفاده نماید. این بدین دلیل است که وقتی کرومِ اندرویدی طوری تنظیم می‌شود تا از Request Desktop Site استفاده کند، از خود رشته‌ی عامل کاربری لینوکس‌مانندی را پخش می‌کند که دیگر نه حاوی نام دستگاه است و نه شماره‌ی ساخت سفت‌افزار.

علاوه بر این، Nightwatch همچنین توصیه می‌کند توسعه دهندگان اپ، رشته‌های عامل کاربری خود را بازنویسی کنند تا یا از رشته‌ای  سفارشی استفاده کنند و یا نام دستگاه و شماره‌ی ساخت را بردارند. با این حال، بیشتر توسعه‌دهندگان اپ، باگ‌های مخصوص به خودشان را دارند و دائم نیز در حال دست و پنجه نرم کردن با آن‌ها هستند. البته خیلی از توسعه‌دهندگان اپ نیز چنین باگ‌هایی اساساً آزارشان نمی‌دهد.