بیشتر کاربران فناوری نباید آگاهانه به شکاف های امنیتی در دستگاه های مورد استفاده خود ، از جمله محصولات Android ، اغلب فکر کنند. تا زمانی که تلفن خود را به محض در دسترس بودن اصلاحات ایمنی جدید به روز کنید ، معمولاً تحت پوشش قرار می گیرید. با این حال ، یک برنامه پیچیده با دولت وجود دارد که برای انجام این کار کار می کند و تاریکی تقریباً امروز تبدیل شده است.
حدود 24 ساعت پس از عدم اطمینان ، CISA و آژانس زیرساخت های ایالات متحده (CISA) اعلام کردند که در روز منقضی شدن قرارداد قبلی خود به تأمین مالی نقاط ضعف و قرار گرفتن در معرض مشترک (CVE) ادامه خواهد داد. امروز ، 16 آوریل ، سخنگوی CISA به The Verge گفت که آژانس “دوره گزینه را برای قرارداد انجام داده است تا اطمینان حاصل شود که پایان خدمات CVE وجود ندارد.”
اما او در گامی که می تواند کل جهان را به کابوس امنیت فنی بفرستد ، به سیم کاهش یافت.
همه این موارد مربوط به برنامه CVE ، که مشکلات ایمنی را از نظر کلی تعیین و ردیابی می کند ، از جایی که یک مشکل احتمالی تا زمان صدور راه حل مناسب تعیین می شود. این کشور تقریباً 500 شریک دارد که شامل محققان امنیتی ، توسعه دهندگان منبع باز و شرکت های بزرگ از جمله شرکت های بزرگی مانند Google ، Microsoft و Apple است.
اگر CVE آشنا به نظر برسد ، ممکن است به این دلیل باشد که کد CVE را که در مقاله ای ذکر شده است (مانند یکی از بسیاری از CVE در Android Central) یا یادداشت های به روزرسانی مشاهده کرده اید. همچنین بخش عمده ای از نسخه های ماهانه Android Aman است. این نمادها ، مانند CVE-2024-53104، با یک CVE عمومی و یک شماره شروع کنید و یک پایگاه داده جهانی برای ردیابی نقص ایمنی از طریق دستگاه ها ، سیستم عامل ها و شرکت ها ایجاد کنید.
CVE 25 سال پیش ، از سال 1999 فعال بود. این برای جامعه امنیتی بسیار ارزشمند شد ، زیرا این وسیله جهانی برای محققان ، توسعه دهندگان ، شرکت ها و مردم بود که با هم همکاری کنند تا ضعف های تعیین کننده را کشف و تصحیح کنند. از همه مهمتر ، این امر به طور علنی بیان می کند که آیا او معتقد است که ضعف به طور جدی توسط بازیگران بد مورد سوء استفاده قرار گرفته است.
محققان امنیتی دائمی به عواقب بسته شدن برنامه CVE ، مانند Lukasz Olejnik در X (قبلاً توییتر) اشاره کردند.
Olignik ، محقق که دارای گواهینامه های پیشرفته در قانون علوم کامپیوتر و فناوری اطلاعات با تخصص در حریم خصوصی است ، “نتیجه هماهنگی بین فروشندگان ، تحلیلگران و سیستم های دفاعی خواهد بود. “هرج و مرج کامل ، ضعف ناگهانی امنیت سایبری در همه زمینه ها.”
از بحران اجتناب شده است … حالا؟
خوشبختانه ، به نظر می رسد که از این بحران جلوگیری شده است ، زیرا دولت فدرال همچنان به تأمین مالی برنامه CVE برای آینده نزدیک ادامه خواهد داد. با این حال ، تصمیم به آمدن به سیم هایی که دولت ترامپ بودجه فدرال را در همه زمینه ها کاهش می دهد ، برنامه CVE را در سایتی قرار می دهد که اکنون در تاریخ 25 ساله خود از هر زمان مطمئن تر است.
سخنگوی در بیانیه ای گفت: “ما از صبر شرکای خود و صبر ذینفعان قدردانی می کنیم.”
اما این چراغ سبز نهایی به اندازه کافی سریع نبود ، زیرا دنیای امنیت در حال حاضر شروع به برنامه ریزی برای حفظ برنامه CVE برای عملکرد و بهره برداری از آن – حتی بدون تأمین مالی فدرال کرده است. اعضای هیئت مدیره CVE بنیاد CVE را ایجاد کردند ، یک سازمان غیر انتفاعی که برای سال گذشته در رازداری برنامه ریزی شده است و ادامه مأموریت CVE را تضمین می کند.
کنت لندفیلد ، مقام بنیاد CVE ، در بیانیه مطبوعاتی گفت: “CVE ، به عنوان یک سنگ مسافر برای سیستم اکوسیستم برای امنیت سایبری جهانی ، بسیار ضعیف است.” “متخصصان امنیت سایبری در سراسر جهان به شناسه ها و داده های CVE به عنوان بخشی از کار روزانه خود بستگی دارند ، از ابزارهای امنیتی و مشاوره گرفته تا اطلاعات تهدید و پاسخ.
این بنیاد توضیح می دهد که نگران کننده است که حضور یک اسپانسر دولت ممکن است “یک نقطه شکست در اکوسیستم ضعف” ایجاد کند.
برنامه CVE همانطور که می دانیم می تواند تغییر کند
CVE بخش مهمی از Android است و باید مربوط به هر شخصی باشد که یک دستگاه Android را لمس می کند. اگرچه تأمین مالی دولت در حال حاضر به دست آمده است ، اما حرکاتی که جابجا شده است ممکن است با تصمیم آخرین لحظه برعکس نشود. بنیاد CVE در اینجا ، و ممکن است اینجا باشد.
هیچ اطلاعاتی در مورد اینکه آیا بنیاد CVE پس از ادامه برنامه CVE برای تأمین بودجه دولت ایالات متحده ، اکنون به کار خود ادامه خواهد داد ، اما این بنیاد گفت که اطلاعات بیشتر “در روزهای آینده” صادر می شود. بودجه مستقیم دولت ایالات متحده یک مشکل بلند مدت نیست که با استفاده از CVE-Gerobition امکان یک شکست واحد ایجاد شده است ، بنابراین ممکن است دلیلی برای وجود آن وجود داشته باشد.
صرف نظر از نحوه نمایش همه اینها ، تصمیم به تأمین مالی برنامه CVE نباید نزدیک به پایان دادن به برنامه تعیین کننده امنیتی جهانی باشد. بیشتر ما این لوکس را داریم که اغلب در مورد ایمنی دستگاه ها فکر نکنیم ، و برنامه هایی مانند CVE که به ما این امتیاز را می دهد.
منبع: https://www.androidcentral.com/apps-software/android-os/android-users-just-dodged-a-bullet-as-the-cve-cybersecurity-tracker-stays-funded
تحریریه بیزنس موبایل