من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.

الطلب على وحدات معالجة الرسوميات أو وحدات معالجة الرسوميات انفجرت في السنوات الاخيرة مع توسع الحاجة إلى قوة المعالجة في أنظمة عرض الفيديو والذكاء الاصطناعي. وفي حين أن معظم النقص الأكثر وضوحًا (وارتفاع أسعار الأسهم) يتعلق بشرائح أجهزة الكمبيوتر والخوادم من الدرجة الأولى، فإن معالجات الرسومات المحمولة هي الإصدار الذي يستخدمه كل شخص لديه هاتف ذكي يوميًا. لذا فإن الثغرات الأمنية في هذه الرقائق أو كيفية تنفيذها يمكن أن يكون لها عواقب حقيقية. وهذا هو بالضبط السبب وراء تركيز فريق البحث عن الثغرات الأمنية في نظام أندرويد التابع لشركة جوجل على البرامج مفتوحة المصدر من شركة كوالكوم العملاقة للرقائق والتي تُستخدم على نطاق واسع لتنفيذ وحدات معالجة الرسومات المحمولة.

في ديفكون في مؤتمر أمني عقد في لاس فيجاس يوم الجمعة، قدم ثلاثة باحثين من جوجل أكثر من تسع نقاط ضعف – تم تصحيحها الآن – اكتشفوها في وحدة معالجة الرسوميات Adreno من Qualcomm، وهي مجموعة من البرامج المستخدمة للتنسيق بين وحدات معالجة الرسوميات ونظام تشغيل مثل Android على الهواتف التي تعمل بنظام Qualcomm. تعد مثل هذه “البرامج” ضرورية لكيفية تصميم أي جهاز كمبيوتر ولديها امتيازات عميقة في نواة نظام التشغيل للتنسيق بين الأجهزة الطرفية والبرامج. يمكن للمهاجمين استغلال العيوب التي وجدها الباحثون للسيطرة الكاملة على الجهاز.

لسنوات، كان المهندسون والمهاجمون على حد سواء يركزون بشكل أكبر على نقاط الضعف المحتملة في وحدة المعالجة المركزية (CPU) للكمبيوتر وقاموا بتحسين كفاءة وحدات معالجة الرسومات، والاعتماد عليها للحصول على قوة معالجة خام. ولكن مع تزايد أهمية وحدات معالجة الرسومات في كل ما يفعله الجهاز طوال الوقت، يبحث المتسللون على طرفي الطيف عن كيفية استغلال البنية الأساسية لوحدات معالجة الرسومات.

يقول Xuan Xing، مدير فريق Android Red Team التابع لشركة Google: “نحن فريق صغير مقارنة بنظام Android البيئي الكبير، فالنطاق كبير جدًا بحيث لا يمكننا تغطية كل شيء، لذا يتعين علينا معرفة ما سيكون له التأثير الأكبر. فلماذا ركزنا على برنامج تشغيل وحدة معالجة الرسومات في هذه الحالة؟ ذلك لأنه لا توجد أذونات مطلوبة للتطبيقات غير الموثوق بها للوصول إلى برامج تشغيل وحدة معالجة الرسومات. وهذا مهم جدًا، وأعتقد أنه سيجذب انتباه الكثير من المهاجمين”.

يشير Xing إلى حقيقة مفادها أن التطبيقات على هواتف Android يمكنها التحدث إلى برنامج تشغيل وحدة معالجة الرسوميات Adreno مباشرة “دون وضع حماية، أو إجراء فحوصات إضافية للأذونات”، على حد تعبيره. وهذا في حد ذاته لا يمنح التطبيقات القدرة على التصرف بشكل غير قانوني، ولكنه يجعل برامج تشغيل وحدة معالجة الرسوميات بمثابة جسر بين الأجزاء العادية لنظام التشغيل (حيث يتم التحكم في البيانات والوصول إليها بعناية)، ونواة النظام، التي تتمتع بالسيطرة الكاملة على الجهاز بالكامل بما في ذلك ذاكرته. يقول Xing: “تتمتع برامج تشغيل وحدة معالجة الرسوميات بجميع أنواع الوظائف القوية. إن هذا التخطيط في الذاكرة هو بدائي قوي يريد المهاجمون الحصول عليه”.

يقول الباحثون إن الثغرات التي اكتشفوها هي كلها عيوب ناتجة عن التعقيدات والترابطات المعقدة التي يجب على برامج تشغيل وحدة معالجة الرسوميات التنقل عبرها لتنسيق كل شيء. لاستغلال العيوب، سيحتاج المهاجمون أولاً إلى إنشاء وصول إلى جهاز مستهدف، ربما عن طريق خداع الضحايا لتحميل تطبيقات ضارة.

يقول يوجين روديونوف، القائد الفني لفريق Android Red Team: “هناك الكثير من الأجزاء المتحركة ولا توجد قيود على الوصول، لذا فإن برامج تشغيل وحدة معالجة الرسوميات يمكن الوصول إليها بسهولة من أي تطبيق تقريبًا. ما يجعل الأمور إشكالية حقًا هنا هو تعقيد التنفيذ – وهذا أحد العناصر التي تفسر عددًا من نقاط الضعف”.

كوالكوم تم إصدار التصحيحات بالنسبة للعيوب التي ظهرت في “مصنعي المعدات الأصلية” (OEMs) الذين يستخدمون شرائح وبرامج Qualcomm في هواتف Android التي يصنعونها. يقول متحدث باسم Qualcomm لـ WIRED: “فيما يتعلق بمشكلات وحدة معالجة الرسومات التي كشف عنها فريق Android Security Red Team، فقد تم توفير التصحيحات لمصنعي المعدات الأصلية في مايو 2024”. “نحن نشجع المستخدمين النهائيين على تطبيق تحديثات الأمان من صانعي الأجهزة بمجرد توفرها”.

إن نظام أندرويد معقد، ويجب أن تنتقل التحديثات من بائع مثل كوالكوم إلى الشركات المصنعة للمعدات الأصلية، ثم يتم تعبئتها من قبل كل شركة مصنعة للأجهزة على حدة وتسليمها إلى هواتف المستخدمين. تعني هذه العملية المتتابعة في بعض الأحيان أن الأجهزة قد تكون معرضة للخطر، لكن جوجل أنفقت سنوات في الاستثمار لتحسين هذه الأنابيب وتبسيط الاتصالات.

ومع ذلك، فإن النتائج تشكل تذكيراً آخر بأن وحدات معالجة الرسوميات نفسها والبرامج التي تدعمها لديها القدرة على أن تصبح ساحة معركة حاسمة في مجال أمن الكمبيوتر.

وكما يقول روديونوف، فإن “الجمع بين التعقيد الكبير في التنفيذ وإمكانية الوصول الواسعة يجعله هدفًا مثيرًا للاهتمام للغاية للمهاجمين”.

اقرأ المزيد

روسيا تحظر تطبيق Signal بسبب "انتهاكه" لقوانين مكافحة الإرهاب
عيوب في برامج أجهزة الصراف الآلي تترك أكوامًا من النقود في متناول أي شخص يعرف كيف ينظر إليها

Reactions

0
0
0
0
0
0
بالفعل كان رد فعل لهذا المنصب.

ردود الفعل