الوكاد
ثغرة عمرها 8 سنوات في نظام KNOX تعرّض ملايين هواتف Galaxy لهجمات النواة
ثغرات وتحديثاتعالٍ

ثغرة عمرها 8 سنوات في نظام KNOX تعرّض ملايين هواتف Galaxy لهجمات النواة

باحثون يكشفون عن ثغرة خطيرة في منظومة KNOX بهواتف سامسونج تمتد من Galaxy S9 حتى S25 وتتيح إفساد ذاكرة النواة، وقد رصّعتها سامسونج في تحديث يناير 2026.

SecurityWeek2 دقائق قراءة

باختصار

  • اكتشف باحثو LucidBit Labs ثغرة حرجة (CVE-2026-20971) في نظام KNOX بهواتف سامسونج تتيح لتطبيق غير موثوق إفساد ذاكرة نواة النظام.
  • تستغل الثغرة نافذة زمنية ضيقة بين نظامَي PROCA وFIVE عبر أسلوب استخدام الذاكرة بعد تحريرها (Use-After-Free)، وتؤثر على أجهزة تعمل بأندرويد 13 حتى 16.
  • أصدرت سامسونج الإصلاح في تحديث يناير 2026، ويُنصح المستخدمون بالتحقق من تحديث أجهزتهم فوراً.
معرّفات الثغرات:CVE-2026-20971

كشف باحثو أمن من مختبر LucidBit Labs عن ثغرة أمنية بالغة الخطورة ظلّت كامنة نحو 8 سنوات في صميم منظومة الأمان KNOX المدمجة في هواتف سامسونج Galaxy، وتمتد من طراز Galaxy S9 الصادر عام 2018 وصولاً إلى الجيل الأحدث Galaxy S25، إلى جانب سلسلة الأجهزة A وجميع الموديلات المستندة إلى معالجات Exynos وQualcomm على حدٍّ سواء.

جوهر الثغرة: سباق خفيّ في قلب النواة

تحمل الثغرة المعرّف CVE-2026-20971 وتُصنَّف بمعدل خطورة 7.8 وفق معيار CVSS، وتنشأ من تفاعل شبكة معقّدة بين مكوّنَين داخليَّين في نواة سامسونج: نظام PROCA المسؤول عن التحقق من هوية العمليات، ونظام FIVE الذي يُراقب سلامة كل عملية جارية استناداً إلى نموذج قياس النزاهة في Linux.

حين تُولد عملية ما عملية فرعية (child process) وتستدعي ()execve لتنفيذ برنامج جديد، يُفترض أن يُسقط النظام بيانات النزاهة القديمة ويُنشئ بيانات جديدة في لحظة واحدة لا تشوبها فجوة. غير أن طبيعة نواة أندرويد الاستباقية (Preemptive Kernel) تُتيح تعليق خيط التنفيذ في أي لحظة، بما يُخلّف نافذة زمنية دقيقة للغاية بين قراءة مؤشر بيانات النزاهة وإعادة استخدامه. هذه الفجوة هي جوهر هجوم استخدام الذاكرة بعد تحريرها (Use-After-Free أو UAF)، إذ يمكن للمهاجم إعادة تخصيص الذاكرة المُحرَّرة بصورة خاضعة لسيطرته الكاملة.

عقبات تجاوزها الباحثون

لم يكن استغلال هذه الثغرة أمراً يسيراً؛ فآلية تكامل تدفق تحكّم النواة (Kernel Control Flow Integrity أو KCFI) المدمجة أغلقت المسار الأخطر المتمثّل في الاستدعاءات الاعتباطية للدوال. بيد أن الباحثين توصّلوا إلى حيلة ذكية: تحميل ملف غير قابل للتنفيذ بصيغة غير ELF، مما أزاح أحد الحواجز التقنية وأتاح إعادة تخصيص الذاكرة المُحرَّرة بشكل مُتحكَّم به. يخلص الباحثون إلى أن الثغرة قابلة للاستغلال من تطبيق غير موثوق مُثبَّت على الجهاز، وقد تُفضي إلى إفساد ذاكرة النواة ومنح المهاجم سيطرة عميقة على الجهاز.

نطاق التأثير وموقف سامسونج

تشمل الثغرة أجهزة تعمل بأنظمة أندرويد 13 و14 و15 و16. وصفت سامسونج في نشرتها الأمنية الرسمية المشكلة بأنها "خطأ في التحقق من صحة المدخلات في إعدادات SecSettings يُتيح لمهاجم محلي الوصول إلى ملفات بصلاحيات النظام"، مُشيرةً إلى أن استغلالها يستلزم تفاعل المستخدم. وقد أصدرت الشركة الإصلاح ضمن تحديثها الأمني لشهر يناير 2026.

وتجدر الإشارة إلى أن اشتراط "التفاعل المحلي" لا يعني بالضرورة انعدام الخطر؛ فقد لا يكون المتفاعل مع الجهاز هو صاحبه الشرعي، كما أن المهاجمين يملكون أساليب متعددة للتحايل على قيود الاستغلال المحلي، ومنها الحصول على موطئ قدم أوّلي عبر تطبيق خبيث.

توصيات

  • **التحديث الفوري**: تحقّق من تثبيت تحديث سامسونج الأمني لشهر يناير 2026 أو ما تلاه عبر إعدادات الجهاز.
  • **الحذر من التطبيقات**: تجنّب تثبيت تطبيقات من مصادر غير رسمية، إذ يتطلب الاستغلال وجود تطبيق غير موثوق على الجهاز.
  • **مراجعة أمان المؤسسات**: تُذكّر هذه الحادثة بأن منظومات الأمان الداخلية ذاتها قد تغدو سطحاً للهجوم، ما يستوجب مراجعة دورية لكل طبقات الحماية.
#أمن سيبراني#سامسونج#Galaxy#KNOX#ثغرات أمنية#أندرويد#Use-After-Free#تحديثات أمنية

مقالات ذات صلة