7Sep
قد تسمح الثغرة الأمنية الرئيسية التي تؤثر على الإصدارات القديمة من نظام التشغيل QNX الخاص بشركة BlackBerry للمتسللين بالتحكم في ملف مجموعة متنوعة من المنتجات، مشتمل سيارات والأجهزة الطبية. من الواضح أن بعض الإصدارات الأقدم من QNX بها ثغرة أمنية في BadAlloc، والتي تمنح الجهات الفاعلة السيئة وسيلة لمهاجمة الأنظمة عن بُعد. يمكن للمتسللين بعد ذلك تنفيذ هجوم رفض الخدمة أو تنفيذ تعليمات برمجية عشوائية. بلاك بيري وإدارة الغذاء والدواء الأمريكية ووكالة الأمن السيبراني وأمن البنية التحتية التابعة للأمن الداخلي الأمريكي (CISA) أصدروا تحذيرات حول الخلل. وفق بوليتيكوومع ذلك، لم ترغب BlackBerry في الأصل في الإعلان عن هذا الأمر وأبقته سراً لعدة أشهر.
يقال إن الشركة أخبرت CISA أنها لا تعتقد أن نظام التشغيل الخاص بها قد تأثر بـ BadAlloc، وهي مجموعة من نقاط الضعف في تخصيص الذاكرة Microsoft وجد في أبريل، مما أثر على مجموعة واسعة من الشبكات الصناعية والطبية وشبكات المؤسسات. وقد كشف عدد من الشركات علناً عن تأثرها بالخلل بعد وقت قصير من صدور تقرير مايكروسوفت، ولكن بلاك بيري لم تكن واحدة منها. بوليتيكو تقول إن CISA هي التي أكدت أن بعض إصدارات QNX الأقدم تتأثر بالفعل بـ BadAlloc، وكانت الوكالة هي التي أقنعت الشركة في النهاية بطرح أسهمها للاكتتاب العام.
على ما يبدو، كانت الوكالة قلقة من أن معظم مستخدمي QNX لن يعرفوا حتى أن أنظمتهم متأثرة، لأن BlackBerry تقوم بترخيص نظام التشغيل للشركات المصنعة. أرادت الشركة في الأصل التواصل بشكل خاص مع هؤلاء العملاء بشأن المشكلة، ولكن هذا يعني أن المستخدمين النهائيين لن يكتشفوا ذلك ما لم يخبرهم المصنعون بذلك أيضًا. وفي النهاية، تمكنت CISA من إقناع BlackBerry بأن الإعلان العام هو أفضل مسار للعمل.
في ذلك يلاحظوقالت بلاك بيري إنها "ليست على علم بأي استغلال لهذه الثغرة الأمنية". كل من الشركة وCISA تقديم المشورة للمؤسسات التي تستخدم QNX لمنتجاتها لنشر التحديثات التي من شأنها تصحيح الخلل بغض النظر. ادارة الاغذية والعقاقير أيضا أصدر تحذيرا خصيصًا للأجهزة الطبية التي تعمل بنظام التشغيل، على الرغم من أنها قالت إنها ليست على علم بأي أحداث مؤكدة تتعلق بـ BadAlloc.
