وأوضح Stagefright: الاستغلال الذي تغير أندرويد

من بين أقوى نقاط Android هي طبيعته المفتوحة المصدر ، والتي تسمح لأصحاب المصلحة بتشكيل وتعديل وإعادة توزيع نظام التشغيل بطريقة تناسب احتياجاتهم الخاصة. ولكن هذه الميزة ذاتها لكونها مفتوحة المصدر تعمل مثل سيف ذو حدين عندما يتعلق الأمر بمسائل البرامج الضارة والأمن. من الأسهل العثور على العيوب وتصحيحها عندما يكون لديك الكثير من المساهمين المؤهلين في مشروع تتوفر شفرة المصدر الخاصة به بحرية. ومع ذلك ، لا يترجم إصلاح المشكلة على مستوى المصدر في كثير من الأحيان إلى مشكلة يجري إصلاحها في يد المستهلك النهائي. على هذا النحو ، لا يعد Android الخيار الأول عندما يتعلق الأمر باختيار نظام تشغيل لاحتياجات المؤسسة الحساسة للبيانات.

في Google I / O 2014 ، أعطت Google أول دفعة نحو نظام بيئي أكثر أمانًا وصديقًا للمؤسسات من خلال إطلاق برنامج Android For Work. تبنت Android For Work منهجًا مزدوجًا للملف الشخصي لاحتياجات المؤسسة ، حيث يمكن لمسؤولي تقنية المعلومات إنشاء ملفات تعريف مستخدم مميزة للموظفين - واحد يركز على العمل ، ويترك ملفات شخصية أخرى للاستخدام الشخصي للموظفين. من خلال استخدام التشفير القائم على الأجهزة والسياسات التي يديرها المشرف ، ظلت بيانات العمل والبيانات الشخصية متميزة وآمنة. بعد ذلك ، تلقى Android For Work المزيد من الاهتمام في الأشهر الأخيرة ، مع التركيز بشكل كبير على أمان الجهاز ضد البرامج الضارة. خططت Google أيضًا لتمكين تشفير الجهاز بالكامل لجميع الأجهزة التي سيتم إصدارها باستخدام Android Lollipop خارج الصندوق ، ولكن تم إلغاء ذلك نظرًا لوجود مشكلات في الأداء مع اتخاذ الخطوة اختياريًا لتطبيق OEM.

إن الدفع من أجل أندرويد آمن ليس عمل Google تمامًا ، حيث لعبت Samsung دورًا مهمًا في ذلك من خلال مساهمات KNOX في AOSP ، مما عزز نظام Android For Work في نهاية المطاف. ومع ذلك ، فإن عمليات استغلال الثغرات الأمنية ومواطن الضعف في Android تشير إلى مهمة شاقة عندما يتعلق الأمر بشعبية اعتماد المؤسسات. مثال على ذلك هو الضعف Stagefright الأخيرة.

محتويات:

  • ما هو Stagefright؟
  • ما مدى خطورة Stagefright؟
  • ما الذي يجعل Stagefright مختلفة عن "نقاط الضعف الهائلة" الأخرى؟
  • معضلة التحديث
  • Android ، مرحلة ما بعد Stagefright
  • ملاحظات ختامية

ما هو Stagefright؟

بعبارات بسيطة ، يعتبر Stagefright استغلالًا يستخدم مكتبة الرموز لتشغيل الوسائط في نظام Android الذي يسمى libstagefright. يستخدم محرك libstagefright لتنفيذ التعليمات البرمجية التي يتم تلقيها في شكل فيديو ضار عبر MMS ، مما يتطلب فقط رقم الهاتف المحمول للضحية لتنفيذ هجوم ناجح.

لقد تواصلنا مع خبرائنا الداخليين ، مطور معترف به أقدم ، ومسؤول مطور pulser_g2 لتقديم شرح أكثر تفصيلاً.

" أثناء كتابتي لهذا ، كان من المقرر أن يتم شرح استغلال [Stagefright] في BlackHat [Link] ، على الرغم من عدم وجود شرائح أو تفاصيل حول الورق الأبيض متاحة حتى الآن.

وبالتالي ، أقدم هذا التفسير كفكرة تقريبية لما يجري ، بدلاً من أن أكون تفسيرًا متعمقًا بدرجة عالية من الدقة الكاملة وما إلى ذلك.

هناك عدد من الأخطاء المختلفة التي تشكل Stagefright ، ولديها أرقام CVE [نقاط الضعف والتعرض الشائع] الخاصة بها للتتبع:

  • CVE-2015-1538
  • CVE-2015-1539
  • CVE-2015-3824
  • CVE-2015-3826
  • CVE-2015-3827
  • CVE-2015-3828
  • CVE-2015-3829

لسوء الحظ ، لا يتم ربط التصحيحات المتاحة مباشرة بكل CVE (كما ينبغي أن تكون) ، لذلك سيكون هذا غير واضح بعض الشيء لتفسيره.

1. [CVE-2015-1538]

في شفرة معالجة MPEG4 ، بيانات تعريف 3GPP (العناصر التي تصف التنسيق والمعلومات الإضافية الأخرى ، عندما يكون الفيديو بتنسيق 3GPP) هي رمز عربات التي تجرها الدواب. لم يرفض البيانات الوصفية ، حيث كانت البيانات كبيرة جدًا ، بدلاً من التحقق فقط من صغر حجمها. هذا يعني أنه كان من الممكن للمهاجم صياغة ملف "معدل" أو "تالف" ، والذي سيكون به جزء بيانات وصفية أطول مما يجب.

أحد التحديات الكبيرة في كتابة التعليمات البرمجية للتعامل مع البيانات "غير الموثوق بها" (أي من مستخدم أو من أي مكان آخر خارج رمزك) هو التعامل مع البيانات ذات الطول المتغير. مقاطع الفيديو هي مثال مثالي على ذلك. يحتاج البرنامج إلى تخصيص الذاكرة بشكل ديناميكي ، اعتمادًا على ما يجري.

في هذه الحالة ، يتم إنشاء مخزن مؤقت كمؤشر لبعض الذاكرة ، ولكن طول الصفيف الذي يشير إليه كان عنصرًا واحدًا قصيرًا للغاية. ثم تمت قراءة بيانات التعريف في هذه المجموعة ، وكان من الممكن أن يكون الإدخال الأخير في هذه المجموعة "لاغٍ" (أو صفر). من المهم أن العنصر الأخير في المصفوفة هو صفر ، لأن هذه هي الطريقة التي يخبر بها البرنامج أن المصفوفة قد انتهت. عن طريق التمكن من جعل القيمة الأخيرة غير صفرية (نظرًا لأن المصفوفة كانت عنصرًا صغيرًا جدًا) ، يمكن قراءة التعليمات البرمجية الضارة بواسطة جزء آخر من التعليمات البرمجية ، وقراءتها في الكثير من البيانات. بدلاً من التوقف عند نهاية هذه القيمة ، يمكن أن تستمر في القراءة في بيانات أخرى لا ينبغي قراءتها.

(المرجع: OmniROM جيريت)

2. [CVE-2015-1539]

يجب أن يكون "الحجم" الأقصر الممكن للبيانات التعريفية 6 بايت ، على اعتبار أنه سلسلة UTF-16. يأخذ الرمز حجم القيمة الصحيحة ، وينقص 6 منه. إذا كانت هذه القيمة أقل من 6 ، فإن "الطرح" سوف "يتدفق" ويلتف حولها ، وينتهي بنا المطاف بعدد كبير للغاية. تخيل لو أنه يمكنك الاعتماد فقط من 0 إلى 65535 ، على سبيل المثال. إذا حصلت على الرقم 4 وطرح 6 ، لا يمكنك الذهاب إلى ما دون الصفر. لذلك تعود إلى 65535 وعد من هناك. هذا ما يحدث هنا!

إذا تم استلام طول أقل من 6 سنوات ، فقد يؤدي ذلك إلى فك تشفير الإطارات بشكل غير صحيح ، لأن عملية byteswap تستخدم المتغير len16 ، الذي يتم الحصول على قيمته من حساب يبدأ بـ (size-6). قد يتسبب هذا في حدوث عملية تبديل أكبر بكثير من المقصود ، مما قد يؤدي إلى تغيير القيم في بيانات الإطار بطريقة غير متوقعة.

(المرجع: OmniROM جيريت)

3. [CVE-2015-3824]

بيغي! هذا واحد سيئة. يوجد عكس هذا العدد الأخير تمامًا - تجاوز عدد صحيح ، حيث يمكن أن يصبح عدد صحيح "أكبر من اللازم". إذا وصلت إلى 65535 (على سبيل المثال) ولا يمكنك الاعتماد على أي أعلى ، فستلتفت إلى الأمام ، وتنتقل إلى 0 بعد ذلك!

إذا كنت تقوم بتخصيص ذاكرة بناءً على هذا (وهو ما تفعله Stagefright!) ، فستنتهي بكمية قليلة جدًا من الذاكرة المخصصة في الصفيف. عندما يتم وضع البيانات في هذا ، فإنه يحتمل أن يحل محل البيانات غير المرتبطة بالبيانات التي يتحكم بها منشئ الملفات الضارة.

(المرجع: OmniROM جيريت)

4. [CVE-2015-3826]

واحد آخر سيئة! تشبه إلى حد بعيد آخر - تجاوز عدد صحيح آخر ، حيث ستكون مجموعة (تستخدم كمخزن مؤقت) صغيرة جدا. هذا من شأنه أن يسمح للذاكرة لا علاقة لها بالكتابة ، وهو أمر سيء مرة أخرى. يمكن لأي شخص يمكنه كتابة البيانات في الذاكرة إفساد البيانات الأخرى غير ذات الصلة ، ويحتمل أن يستخدم هذا للحصول على رمز يسيطر عليه يتم تشغيله بواسطة هاتفك.

(المرجع: OmniROM جيريت)

5. [CVE-2015-3827]

تشبه الى حد بعيد هذه الأخيرة. يتم استخدام المتغير عند تخطي بعض الذاكرة ، وقد يصبح هذا سالبًا أثناء الطرح (مثل أعلاه). سيؤدي ذلك إلى طول "تخطي" كبير للغاية ، يفيض على مخزن مؤقت ، مما يتيح الوصول إلى الذاكرة التي لا ينبغي الوصول إليها.

(المرجع: OmniROM جيريت)

هناك أيضًا بعض الإصلاحات (المحتملة) ذات الصلة التي يبدو أنها وصلت إلى [Android] 5.1 أيضًا.

(المرجع: OmniROM جيريت)

يؤدي ذلك إلى إضافة الشيكات لإيقاف المشكلات المتعلقة بإصلاح الأمان السابق لإضافة عمليات تدقيق الحدود ، والتي يمكن تجاوزها بحد ذاتها. في C ، يتم تخزين الأرقام التي يمكن تمثيلها كـ int موقعة كـ int موقعة. وإلا فإنها تظل دون تغيير أثناء العمليات. في هذه الاختبارات ، كان من الممكن توقيع بعض الأعداد الصحيحة (بدلاً من عدم التوقيع) ، مما يقلل من القيمة القصوى في وقت لاحق ، ويسمح بحدوث تجاوز سعة.

(المرجع: OmniROM جيريت)

بعض التدفقات السفلية الأكثر عددًا (حيث تكون الأرقام منخفضة جدًا ، ثم يتم إجراء الطرح على هذه الأرقام ، مما يسمح لها بالانتقال إلى السلبية). يؤدي هذا مرة أخرى إلى عدد كبير ، بدلاً من رقم صغير ، وهذا يسبب نفس المشكلات المذكورة أعلاه.

(المرجع: OmniROM جيريت)

وأخيراً ، تجاوز عدد صحيح آخر. كما كان من قبل ، فإنه على وشك الاستخدام في مكان آخر ، ويمكن أن يتجاوز.

(المرجع: OmniROM جيريت) "

ما مدى خطورة Stagefright؟

وفقًا لنشرة المدونة التي نشرتها الشركة الأم للأبحاث ، Zimperium Research Labs ، فإن Stagefright يستغل يحتمل أن يعرض 95٪ من أجهزة Android - حوالي 950 مليون - لهذه الثغرة الأمنية لأنه يؤثر على الأجهزة التي تعمل بنظام Android 2.2 وما فوق. ومما زاد الطين بلة ، أن الأجهزة قبل جيلي بين 4.3 هي في "أسوأ خطر" لأنها لا تحتوي على تخفيف مناسب ضد هذا الاستغلال.

فيما يتعلق بالضرر الذي يمكن أن تتعرض له Stagefright ، لاحظ pulser_g2:

"" في حد ذاته ، ستتيح Stagefright الوصول إلى مستخدم النظام على الهاتف. يجب عليك تجاوز ASLR (التوزيع العشوائي لتخطيط مساحة العنوان) لإساءة استخدامه بالفعل. ما إذا كان هذا قد تحقق أم لا غير معروف في الوقت الحالي. يتيح هذا الاستغلال تشغيل "الرمز التعسفي" على جهازك كمستخدم النظام أو الوسائط. هؤلاء لديهم حق الوصول إلى الصوت والكاميرا على الجهاز ، ومستخدم النظام هو مكان رائع لبدء استغلال الجذر منه. هل تذكر كل ما يستغله الجذر المدهش الذي استخدمته لتدوين هاتفك؟

هذه يمكن أن تستخدم بصمت لاكتساب الجذر على جهازك! من لديه الجذر يملك الهاتف. سيتعين عليهم تجاوز SELinux ، لكن TowelRoot تمكن من ذلك ، وقد تمكنت PingPong أيضًا. بمجرد الحصول على الجذر ، كل شيء على هاتفك مفتوح لهم. الرسائل ، المفاتيح ، إلخ. ""

pulser_g2

نتحدث عن أسوأ السيناريوهات ، هناك حاجة فقط إلى رسالة متعددة الوسائط لتوصيل الكود وتشغيل هذا الاستغلال. لا يحتاج المستخدم حتى إلى فتح الرسالة حيث أن الكثير من تطبيقات المراسلة يعالج MMS قبل أن يتفاعل المستخدم معها. هذا يختلف عن هجمات التصيد العشوائي حيث يمكن للمستخدم أن يكون غافلاً تمامًا عن أي هجوم ناجح ، مما يعرض جميع البيانات الحالية والمستقبلية في الهاتف للخطر.

ما الذي يجعل Stagefright مختلفة عن "نقاط الضعف الهائلة" الأخرى؟

"جميع نقاط الضعف تشكل بعض المخاطر للمستخدمين. هذا أمر محفوف بالمخاطر بشكل خاص ، لأنه إذا وجد شخص ما وسيلة لمهاجمته عن بعد (وهو أمر ممكن ، إذا تم العثور على وسيلة للتغلب على ASLR) ، يمكن أن تحدث قبل أن تدرك أنك تتعرض للهجوم ".

pulser_g2

تتطلب عمليات استغلال الأقدم مثل Android Installer Hijacking و FakeID وكذلك عمليات استغلال الجذر مثل TowelRoot و PingPong تفاعل المستخدم في مرحلة ما حتى يتم تنفيذها. بينما لا يزالون "يستغلون" في حقيقة أن الكثير من الأذى يمكن أن ينشأ إذا تم استخدامه بشكل ضار ، تظل الحقيقة أن Stagefright لا يحتاج نظريًا إلا إلى رقم هاتف محمول للضحية لتحويل هاتفه إلى حصان طروادة وبالتالي يتم إيلاء الكثير من الاهتمام في الآونة الأخيرة أيام.

أندرويد ليس بالكامل تحت رحمة هذا الاستغلال. قام أدريان لودفيج ، كبير مهندسي الأمن في نظام أندرويد ، بمعالجة بعض المخاوف في مشاركة على Google+:

"" هناك افتراض خاطئ شائع بأن أي خطأ في البرنامج يمكن أن يتحول إلى استغلال أمني. في الواقع ، معظم الأخطاء غير قابلة للاستغلال ، وهناك العديد من الأشياء التي قام بها Android لتحسين تلك الاحتمالات ...

يتم سرد قائمة ببعض تلك التقنيات التي تم تقديمها منذ Ice Cream Sandwich (Android 4.0) هنا. يُعرف أكثر هذه العناصر المعروفة باسم Address Space Layout Randomization (ASLR) ، الذي تم إكماله بالكامل في Android 4.1 بدعم PIE (Position Independent Executables) وهو الآن يعمل على أكثر من 85٪ من أجهزة Android. هذه التكنولوجيا تجعل الأمر أكثر صعوبة بالنسبة للمهاجمين لتخمين موقع الكود ، وهو أمر ضروري لهم لبناء استغلال ناجح ...

لم نتوقف مع ASLR ، لقد أضفنا أيضًا NX و FortifySource و Read-Only-Relocations و Stack Canaries والمزيد. ""

ادريان لودفيج

ومع ذلك ، لا يوجد حتى الآن إنكار أن Stagefright هي مسألة خطيرة بالنسبة لمستقبل Android ، وبالتالي يتم أخذها على محمل الجد من قبل أصحاب المصلحة المعنيين. كما أبرزت Stagefright الأفيال البيضاء الموجودة في الغرفة - مشكلة التفتت والتحديثات التي تصل أخيرًا إلى المستهلك.

معضلة التحديث

عند الحديث عن التحديثات ، من الجيد أن نرى أن الشركات المصنعة للمعدات الأصلية تتحمل مسؤولية أمن المستخدمين ، حيث وعد الكثيرون بتحسين عملية التحديث على وجه التحديد لدمج إصلاحات الأمان والتصحيحات للاستغلالات مثل Stagefright.

من بين أول من أصدر بيانًا رسميًا ، وعدت Google بتحديثات الأمان الشهرية (بالإضافة إلى تحديثات نظام التشغيل والنظام الأساسي المخططة) لمعظم أجهزة Nexus ، بما في ذلك Nexus 4. البالغ من العمر 3 سنوات. الإعلان عن أنه سيعمل مع شركات الاتصالات والشركاء لتنفيذ برنامج تحديث أمني شهري ولكنه فشل في تحديد الأجهزة وتفاصيل الجدول الزمني لهذا التطبيق. يعد هذا أمرًا مثيرًا للاهتمام لأنه يذكر نهج "التتبع السريع" لتحديثات الأمان بالتعاون مع شركات الاتصالات ، لذلك يمكننا أن نتوقع المزيد من التحديثات المتكررة (وإن كانت تستند إلى الأمان ، ولكن نأمل أن تسرّع ترقيات البرامج الثابتة أيضًا) على الأجهزة المحمولة.

من بين صانعي القطع الأصلية الآخرين الذين انضموا إلى الحزمة ، LG الذين سيشاركون في تحديثات الأمان الشهرية. أعلنت شركة موتورولا أيضًا عن قائمة الأجهزة التي سيتم تحديثها مع إصلاحات Stagefright ، وتشمل القائمة جميع الأجهزة التي صنعتها الشركة تقريبًا منذ عام 2013. كما أعلنت سوني أن أجهزتها ستتلقى قريبًا التصحيحات أيضًا.

لمرة واحدة ، تأتي شركات النقل أيضًا مع التحديثات. أصدرت Sprint بيانًا مفاده أن بعض الأجهزة قد تلقت بالفعل تصحيح Stagefright ، مع المزيد من الأجهزة المجدولة للتحديث. كما اتبعت AT&T نفس المشكلة من خلال إصدار التصحيح لبعض الأجهزة. أصدرت Verizon أيضًا تصحيحات ، وإن كان هذا إصدارًا بطيئًا يعطي الأولوية للهواتف الذكية المتطورة مثل Galaxy S6 Edge و Note 4. وتلقت T-Mobile Note 4 تحديثًا لنظام تصحيح Stagefright أيضًا.

كمستخدم نهائي ، هناك بعض الخطوات الاحترازية التي يمكن اتخاذها لتقليل فرص تعرضك للهجوم. بالنسبة للمبتدئين ، قم بتعطيل الاسترداد التلقائي لرسائل MMS في تطبيقات المراسلة الموجودة على هاتفك. يجب أن يظل هذا في السيطرة على الحالات التي لا يلزم فيها تفاعل المستخدم حتى يعمل الاستغلال. بعد ذلك ، احرص على تجنب تنزيل الوسائط من رسائل MMS من مصادر غير معروفة وغير موثوق بها.

بصفتك مستخدمًا قويًا ، يمكنك أيضًا إجراء تعديلات على دعامة التصميم لتعطيل Stagefright. هذه ليست طريقة كاملة وموثوقة لإنقاذ نفسك من Stagefright ، ولكن يمكنك اغتنام فرصك لتقليل احتمالية حدوث هجوم ناجح إذا واجهتك مشكلة في إصدار Android أقدم. هناك أيضًا حلول ROM مخصصة ، معظمها تتم مزامنة مصادر مع AOSP على أساس منتظم ، وبالتالي ، سيتم دمج إصلاحات Stagefright. إذا كنت تقوم بتشغيل قرص مدمج بنظام AOSP ، فمن المستحسن بشدة أن تقوم بالتحديث إلى إصدار أحدث من ROM يتضمن تصحيحات Stagefright. يمكنك استخدام هذا التطبيق للتحقق مما إذا كان برنامج التشغيل اليومي الحالي يتأثر بـ Stagefright.

Android ، مرحلة ما بعد Stagefright

لم يكن Stagefright سوى دعوة للاستيقاظ تجاه Android ومشكلة التفتت بالإضافة إلى التحديثات. إنه يسلط الضوء على عدم وجود آلية واضحة يمكن من خلالها طرح هذه الإصلاحات الهامة في الوقت المناسب على العديد من الأجهزة. بينما تحاول شركات تصنيع المعدات الأصلية طرح تصحيحات للأجهزة ، فإن الحقيقة القاسية هي أن معظم هذه الإصلاحات ستقتصر على البرامج الرئيسية الحديثة فقط. سوف تستمر الأجهزة الأخرى غير الرائدة والأجهزة القديمة ، أقل بكثير من الشركات المصنعة الأصلية الأصغر حجمًا في التعرض لمثل Stagefright.

هناك بطانة فضية لهذا الاستغلال : لقد أعادت لفت الانتباه حول عملية تحديث Android ووضعتها في ضوء لن يجذب أكبر عدد من الشركات في المستقبل نحو تبني Android لاستخدام المؤسسات. نظرًا لأن Google تعمل من أجل اعتماد أكبر للمؤسسة ، فسوف تضطر إلى إعادة التفكير في استراتيجية التحديث ومقدار التحكم الذي تسمح به الشركات المصنعة الأصلية.

مع اقتراب Android M من إصدار السوق بحلول اليوم ، لن يكون مفاجئًا إذا اختارت Google أن تتخلص من المزيد والمزيد من مكونات AOSP لصالح حزمة خدمات Play. بعد كل شيء ، هذا هو أحد المجالات التي لا تزال تحتفظ بها Google بالتحكم الكامل فيما إذا كان الجهاز سيشحن مع متجر Google Play. هذا له سلبيات خاصة به في شكل استبدال المناطق المفتوحة المصدر بجدران مفتوحة المصدر.

عند التكهن بمستقبل Android ، هناك احتمال (صغير جدًا) بأن Google قد تحد أيضًا من التغييرات التي يمكن أن تقوم بها الشركات المصنعة الأصلية لـ AOSP. مع وجود إطار عمل RRO في حالة وظيفية في Android M ، يمكن أن تقيد Google تصنيع المعدات الأصلية لإجراء تغييرات تجميلية فقط في شكل جلود RRO. يجب أن يسمح هذا بنشر التحديث بشكل أسرع ، ولكن سيكون على حساب OEM يتم حرمانه من فرصة تخصيص Android بالكامل.

هناك طريق آخر قد يكون احتمالًا وهو جعل الأمر إلزاميًا لجميع الأجهزة التي يتم شحنها مع متجر Google Play لتلقي تحديثات الأمان المضمونة لفترة زمنية محددة ، ربما عامين. يمكن استخدام إطار Play Services للتحقق من وجود تحديثات وتصحيحات أمان مهمة ، مع إلغاء الوصول إلى متجر Play في حالة عدم الامتثال.

ملاحظات ختامية

لا تزال هذه تكهنات في أحسن الأحوال ، حيث لا توجد طريقة أنيقة لإصلاح هذه المشكلة. وبخلاف الطريقة الشمولية للغاية ، سيكون هناك دائمًا بعض أوجه القصور في متناول الإصلاحات. نظرًا للعدد الهائل من أجهزة Android الموجودة هناك ، فإن متابعة حالة أمان كل جهاز سيكون مهمة هائلة للغاية. الحاجة إلى الساعة هي إعادة النظر في الطريقة التي يتم بها تحديث Android لأن الطريقة الحالية ليست الأفضل بالتأكيد. نأمل في Developers أن يستمر تطبيق Android في الحفاظ على وفائه بجذوره مفتوحة المصدر أثناء العمل جنباً إلى جنب مع خطط Google المغلقة المصدر.

هل هاتفك عرضة ل Stagefright؟ هل تعتقد أن هاتفك سيحصل على تصحيح Stagefright؟ اسمحوا لنا أن نعرف في التعليقات أدناه!