اختر منطقتك 
حالة الطقس 
لقد زاد الطلب على وحدات معالجة الرسوميات أو وحدات معالجة الرسومات بشكل كبير في السنوات الأخيرة حيث أدت أنظمة عرض الفيديو والذكاء الاصطناعي إلى توسيع الحاجة إلى قوة المعالجة. وفي حين أن معظم النقص الأكثر وضوحًا (وارتفاع أسعار الأسهم) يتعلق بشرائح أجهزة الكمبيوتر والخوادم من الدرجة الأولى، فإن معالجات الرسوميات المحمولة هي الإصدار الذي يستخدمه كل شخص لديه هاتف ذكي يوميًا. لذا فإن الثغرات الأمنية في هذه الرقائق أو كيفية تنفيذها يمكن أن يكون لها عواقب حقيقية. هذا هو بالضبط السبب وراء تركيز فريق البحث عن الثغرات الأمنية في نظام أندرويد التابع لشركة Google على البرامج مفتوحة المصدر من شركة Qualcomm العملاقة للرقائق والتي تُستخدم على نطاق واسع لتنفيذ وحدات معالجة الرسوميات المحمولة.
في مؤتمر ديفكون للأمن في لاس فيجاس يوم الجمعة، قدم ثلاثة باحثين من جوجل أكثر من تسع نقاط ضعف – تم إصلاحها الآن – اكتشفوها في وحدة معالجة الرسوميات Adreno من Qualcomm، وهي مجموعة من البرامج المستخدمة للتنسيق بين وحدات معالجة الرسوميات ونظام تشغيل مثل Android على الهواتف التي تعمل بنظام Qualcomm. تعد مثل هذه “البرامج” ضرورية لكيفية تصميم أي جهاز كمبيوتر ولديها امتيازات عميقة في نواة نظام التشغيل للتنسيق بين الأجهزة الطرفية والبرامج. يمكن للمهاجمين استغلال العيوب التي وجدها الباحثون للسيطرة الكاملة على الجهاز.
لسنوات، كان المهندسون والمهاجمون على حد سواء يركزون بشكل أكبر على نقاط الضعف المحتملة في وحدة المعالجة المركزية (CPU) للكمبيوتر وقاموا بتحسين كفاءة وحدات معالجة الرسومات، والاعتماد عليها للحصول على قوة معالجة خام. ولكن مع تزايد أهمية وحدات معالجة الرسومات في كل ما يفعله الجهاز طوال الوقت، يبحث المتسللون على طرفي الطيف عن كيفية استغلال البنية الأساسية لوحدات معالجة الرسومات.
يقول Xuan Xing، مدير فريق Android Red Team التابع لشركة Google: “نحن فريق صغير مقارنة بنظام Android البيئي الكبير، فالنطاق كبير جدًا بحيث لا يمكننا تغطية كل شيء، لذا يتعين علينا معرفة ما سيكون له التأثير الأكبر. فلماذا ركزنا على برنامج تشغيل وحدة معالجة الرسومات في هذه الحالة؟ ذلك لأنه لا توجد أذونات مطلوبة للتطبيقات غير الموثوق بها للوصول إلى برامج تشغيل وحدة معالجة الرسومات. وهذا مهم جدًا، وأعتقد أنه سيجذب انتباه الكثير من المهاجمين”.
يشير Xing إلى حقيقة مفادها أن التطبيقات على هواتف Android يمكنها التحدث إلى برنامج تشغيل وحدة معالجة الرسوميات Adreno مباشرة “دون وضع حماية، أو إجراء فحوصات إضافية للأذونات”، على حد تعبيره. وهذا في حد ذاته لا يمنح التطبيقات القدرة على التصرف بشكل غير قانوني، ولكنه يجعل برامج تشغيل وحدة معالجة الرسوميات بمثابة جسر بين الأجزاء العادية لنظام التشغيل (حيث يتم التحكم في البيانات والوصول إليها بعناية)، ونواة النظام، التي تتمتع بالسيطرة الكاملة على الجهاز بالكامل بما في ذلك ذاكرته. يقول Xing: “تتمتع برامج تشغيل وحدة معالجة الرسوميات بجميع أنواع الوظائف القوية. إن هذا التخطيط في الذاكرة هو بدائي قوي يريد المهاجمون الحصول عليه”.
يقول الباحثون إن الثغرات التي اكتشفوها هي كلها عيوب ناتجة عن التعقيدات والترابطات المعقدة التي يجب على برامج تشغيل وحدة معالجة الرسوميات التنقل عبرها لتنسيق كل شيء. لاستغلال العيوب، سيحتاج المهاجمون أولاً إلى إنشاء وصول إلى جهاز مستهدف، ربما عن طريق خداع الضحايا لتحميل تطبيقات ضارة.
يقول يوجين روديونوف، القائد الفني لفريق Android Red Team: “هناك الكثير من الأجزاء المتحركة ولا توجد قيود على الوصول، لذا فإن برامج تشغيل وحدة معالجة الرسوميات يمكن الوصول إليها بسهولة من أي تطبيق تقريبًا. ما يجعل الأمور إشكالية حقًا هنا هو تعقيد التنفيذ – وهذا أحد العناصر التي تفسر عددًا من نقاط الضعف”.
أصدرت شركة كوالكوم تصحيحات للعيوب لـ “مصنعي المعدات الأصلية” (OEMs) الذين يستخدمون شرائح وبرامج كوالكوم في هواتف Android التي يصنعونها. قال متحدث باسم شركة كوالكوم لـ WIRED: “فيما يتعلق بمشكلات وحدة معالجة الرسومات التي كشف عنها فريق Android Security Red Team، فقد تم توفير التصحيحات لمصنعي المعدات الأصلية في مايو 2024”. “نشجع المستخدمين النهائيين على تطبيق تحديثات الأمان من صانعي الأجهزة بمجرد توفرها”.
إن نظام أندرويد معقد، ويجب أن تنتقل التحديثات من بائع مثل كوالكوم إلى الشركات المصنعة للمعدات الأصلية، ثم يتم تعبئتها من قبل كل شركة مصنعة للأجهزة على حدة وتسليمها إلى هواتف المستخدمين. تعني هذه العملية المتتابعة في بعض الأحيان أن الأجهزة قد تكون معرضة للخطر، لكن جوجل أنفقت سنوات في الاستثمار لتحسين هذه الأنابيب وتبسيط الاتصالات.
ومع ذلك، فإن النتائج تشكل تذكيراً آخر بأن وحدات معالجة الرسوميات نفسها والبرامج التي تدعمها لديها القدرة على أن تصبح ساحة معركة حاسمة في مجال أمن الكمبيوتر.
وكما يقول روديونوف، فإن “الجمع بين التعقيد الكبير في التنفيذ وإمكانية الوصول الواسعة يجعله هدفًا مثيرًا للاهتمام للغاية للمهاجمين”.
