Dirty COW که اواخر سال 2016 کشف شد یک ضعف امنیتی کامپیوتر است که همه‌ی سیستم‌های مبتنی بر لینوکس را آلوده می‌کند. جالب اینجاست که این ضعف امنیتی در سطح کرنل از سال 2007 در لینوکس کرنل موجود بوده است اما تا سال 2016 ناشناخته مانده است. 
اما این ضعف امنیتی چیست و چگونه قربانی می‌گیرد؟

ضعف امنیتی  Dirty Cow چیست؟ 

ضعف امنیتی Dirty COW یک رخنه‌ی امتیاز بهره وری است که به هکر امکان کنترل کامل دستگاه را می‌دهد. درحالی که متخصصین امنیتی می‌گویند که چنین رخنه‌هایی زیاد هستند اما طبیعت این ضعف امنیتی و این که یازده سال است کشف نشده نگران کننده است. 
البته  Linus Torvalds گفته که آن را در سال 2007 کشف کرده اما فکر کرده که یک رخنه‌ در سطح تئوری است و نه عملی. 
نام Dirty COW از مکانیزم  copy-on-write روی سیستم مدیریت حافظه‌ی کرنل می‌آید. برنامه‌های مخرب می‌توانند شرایطی را پیش بیاورند که در آن حالت فایل‌های فقط قابل خوانش یا  read-only را به قابل نوشتن تبدیل کنند. در نتیجه یک کاربر غیر قانونی می‌تواند با استفاده از این ضعف قدرت خود را روی سیستم افزایش دهد. 
با دستیابی به مجوزهای پایه، برنامه‌های مخرب دسترسی نامحدود به سیستم پیدا می‌کنند و می‌توانند فایل‌های سیستمی را تغییر دهند، کی لاگر روی دستگاه قرار دهند و به اطلاعات شخصی شما روی دستگاه دسترسی پیدا کنند. 

کدام دستگاه‌ها آلوده هستند؟ 

ضعف امنیتی Dirty COW همه‌ی نسخه‌های لینوکس کرنل از نسخه‌ی 2.6.22 که در سال 2007 منتشر شده‌اند را آلوده می‌کند. طبق گفته‌ی ویکیپدیا این ضعف امنیتی در کرنل نسخه‌های 4.8.3، 4.7.9، 4.4.26 به بعد وجود دارد. یک پچ در سال 2016 منتشر شد اما خیلی به این مشکل نمی‌پرداخت در نتیجه یک پچ دیگر در سال 2017 منتشر شد. 
برای دریافت شماره‌ی نسخه‌ی کرنل خود فرمان زیر را در سیستم مبتنی بر لینوکس خود وارد کنید: 
uname – r 
توزیع‌های مهم لینوکس مثل اوبونتو، دبیان، آرچ لینوکس یک آپدیت برای این مشکل منتشر کرده‌اند. در نتیجه نسخه‌ی کرنل لینوکس خود را آپدیت کنید. 

از آنجایی که بیشتر سیستم‌ها هم اکنون این پچ را دریافت کرده‌اند آیا خطر رفع شده است؟ نه خیلی. 
درحالی که بیشتر سیستم‌ها پچ را دریافت کرده‌اند دستگاه‌های متصل به اینترنت مبتنی بر لینوکس زیادی وجود دارند که هنوز در معرض خطر هستند. بیشتر این دستگاه‌ها به خصوص آن‌هایی که ارزان هستند هیچ گاه از طرف شرکت سازنده آپدیت دریافت نمی‌کنند. متاسفانه راهی برای حل این مشکل وجود ندارد. 
در نتیجه بسیار مهم است که دستگاه‌های اینترنت اشیا را از منابع معتبر خریداری کنید که دارای خدمات پس از فروش هستند. 

از آنجایی که اندروید نیز مبتنی بر لینوکس است بسیاری از دستگاه‌های اندروید نیز آلوده شده‌اند. 

Dirty COW چگونه دستگاه‌های اندروید را آلوده می‌کند؟ 

ZNIU اولین بدافزار اندروید مبتنی بر ضعف امنیتی Dirty COW است. این بدافزار می‌تواند هر دستگاه اندرویدی را تا اندروید 7.0 نوقا مورد حمله قرار دهد. درحالی که این ضعف امنیتی همه‌ی نسخه‌های اندروید را مورد حمله قرار می‌دهند ZNIU به خصوص دستگاه‌های اندروید را با معماری ARM/X86 64-bit مورد حمله قرار می‌دهد.

بنا به گزارش  Trend Micro بیش از 300 هزار اپلیکیشن مخرب دارای ZNIU تا تاریخ سپتامبر 2017 کشف شده است. کاربران حدود پنجاه کشور از جمله چین، هند و ژاپن به این بدافزار آلوده شده‌اند. بیشتر این اپلیکیشن‌ها در غالب بازی و اپلیکیشن‌های مستهجن هستند. 

بدافزار اندروید ZNIU چگونه کار می‌کند؟ 

اپلیکیشن آلوده به ZNIU در قالب اپلیکیشن مستهجن در وب‌سایت‌ها قرار داده می‌شوند. از آنجایی که ساید لود اپلیکیشن‌ها در اندروید ساده است بسیاری از کاربران تازه کار در دام افتاده و آن را دانلود می‌کنند. 
وقتی که اپلیکیشن آلوده اجرا شود با سرور فرمان و کنترل خود ارتباط برقرار می‌کند. سپس به ضعف امنیتی  Dirty COW رخنه کرده و به خود اجازه‌ی یک ابر کاربر را می‌دهد. درحالی که از راه دور نمی‌توان به این ضعف امنیتی رخنه کرد، اپلیکیشن مخرب می‌تواند یک در پشتی ساخته و از راه دور فرمان‌های مخرب خود را اجرا کند. 

وقتی که اپلیکیشن به پایه دسترسی پیدا می‌کند اطلاعات را ذخیره کرده به سرور خود می‌فرستد. سپس از طریق سرویس پرداخت مبتنی بر اس ام اس پول قربانی را انتقال می‌دهد. محققان  Trend Micro می‌گویند که این پول به صورت مستقیم به یک شرکت در چین فرستاده می‌شود. 
اگر هدف خارج از چین باشد نمی‌تواند پول را انتقال دهد اما باز هم یک در پشتی برای نصب اپلیکیشن‌های مخرب دیگر می‌سازد. 
یک چیز جالب درمورد بدافزار این است که ماهانه حدود سه دلار را انتقال می‌دهد تا جلب توجه نکند. درضمن انقدر باهوش هست که پس از انتقال پول پیام‌ها را پاک کند. 

چگونه می‎توانیم دربرابر ZNIU امن باشیم؟

گوگل خیلی سریع به این مشکل واکنش نشان داده و در سال 2016 یک پچ امنیتی منتشر کرد. با این حال این پچ روی دستگاه‌های اندروید 4.4 به بالا کار می‌کند. 
در حال حاضر حدود 6 درصد از دستگاه‌ها هنوز از نسخه‌های اندروید 4.4 به پایین استفاده می‌کنند. 
درحالی که این رقم پایین است اما باز هم افراد بسیار زیادی را مورد هدف قرار می‌دهد. 

اگر دستگاه شما اندروید 4.4 کیت کت به بالا را اجرا می‌کند حتماً باید آخرین پچ امنیتی را روی دستگاه خود نصب داشته باشید. برای این که مطمئن شوید Settings > About phone را باز کنید. به پایین صفحه رفته و گزینه‌ی Android security patch level را تیک دار کنید. 
اگر پچ امنیتی نصب شده جدیدتر از دسامبر 2016 نصب شده باشد شما از این ضعف امنیتی مصون هستید. 

گوگل اعلام کرده که Google Play Protect اپلیکیشن‌های آلوده را اسکن کرده و در حفظ امنیت به شما کمک می‌کند. البته به یاد داشته باشید که برای این که بتوانید از Google Play Protect استفاده کنید دستگاه شما باید به درستی اپلیکیشن‌های گوگل را اجرا کند. خبر خوب اینجاست که بیشتر شرکت‌های سازنده از طرف گوگل تاییدیه دارند. در نتیجه تنها در صورتی باید نگران باشید که دستگاه شما یک دستگاه اندروید ارزان قیمت باشد. 

درحالی که اپلیکیشن آنتی ویروس اندروید می‌تواند چنین حملاتی را شناسایی کند نمی‌تواند آن‌ها را متوقف کند. 
در نهایت هنگام نصب اپلیکیشن از منابع نامعتبر مواظب باشید. اندروید 8.0 اورئو نصب اپلیکیشن از منابع نامعتبر را امن‌تر می‌کند اما باز هم باید مواظب باشید. 

امن بمانید 

ضعف امنیتی Dirty COW دستگاه‌های بسیار زیادی را تحت تاثیر قرار داده است. خوشبختانه شرکت‌ها خیلی زود اقدام کرده و به حل این مشکل پرداخته‌اند. بیشتر سیستم‌های مبتنی بر لینوکس مثل اوبونتو، دبیان و آرچ لینوکس پچ امنیتی منتشر کرده‌اند. گوگل نیز  Play Protect را ساخته تا اپلیکیشن‌های آلوده را روی اندروید بیابد. 
متاسفانه کاربرانی که از سیستم‌های درونی با کرنل لینوکس آلوده استفاده می‌کنند شاید هیچ گاه آپدیت را دریافت نکنند. شرکت‌هایی که گوشی‌های ارزان قیمت اندرویدی می‌سازند تحت تایید گوگل نیستند و خریداران را در خطر قرار می‌دهند. کاربران محصولات این شرکت‌ها آپدیت امنیتی و آپدیت نسخه‌های اندروید را دریافت نمی‌کنند در نتیجه از چنین شرکت‌هایی خرید نکنید.