וואלה!
וואלה!
וואלה!
וואלה!

וואלה! האתר המוביל בישראל - עדכונים מסביב לשעון

חור אבטחה חמור באנדרואיד: 95% מהמכשירים חשופים לפריצה

28.7.2015 / 13:03

בניגוד לסוסים טרויאנים אחרים, הפרצה הזו מאפשרת להאקרים להשתלט על המכשיר על ידי שליחת הודעת מולטימדיה פשוטה, אותה יכול הפורץ למחוק לפני שתשימו לב בכלל שמכשירכם נפרץ

סייבר. ShutterStock
"הפרצה החמורה ביותר עד כה"./ShutterStock

לרוב כשאנחנו מתלבטים האם לתת למישהו את מספר הטלפון שלנו, אנחנו חוששים יותר מפני הטרדה בשעות הזויות מאשר פריצה למכשיר שלנו מרחוק. אבל אם במקרה אתם בעלי אנדרואיד, כדי שתדעו שגם זו מציאות אפשרית, עם חשיפת פרצת אבטחה חדשה ואדירת ממדים המכונה "פחד במה" (Stagefright).

המחדל אותר על ידי צוות המומחים של חברת Zimperium, המתמחה באבטחה סלולרית. הפרצה אותה תיארו החוקרים כ-"חמורה ביותר שנחשפה עד כה באנדרואיד" חושפת כ-95 אחוזים מהמכשירים ברחבי העולם הנעזרים במערכת ההפעלה של גוגל, החל מגרסה 2.2 ואילך, למתקפה מקוונת. כל מה שנדרש עבור האקרים הוא מספר הנייד של הקורבן. לפי ההערכות, 950 מיליון מכשירים נתונים בסכנה.

הפרצה פועלת באמצעות הודעת מולטימדיה הנשלחת למכשיר, שלאחר פתיחתה מתאפשרת פריצה מרחוק למידע אישי ובו תכתובות, תמונות ועוד, לצד אפשרות להשתלט על המצלמה והמיקרופון, בין היתר. החלק הגרוע הוא שאין אינדיקציה ברורה לכך שמכשירכם נפרץ, גם לא בדיעבד - היות והפורץ המרוחק יכול למחוק את ההודעה ששלח לפני שתספיקו לשים לב אליה בכלל.

סמארטפון אנדרואיד. ShutterStock
גוגל עוד לא הספיקה לתקן את החור./ShutterStock

"הפרצות האלה מסוכנות במיוחד כי הן לא דורשות מהקורבן לבצע אף פעולה שחושפת אותו", הסביר ג'ושוע דרייק מטעם Zimperium, "בניגוד למקרים בהם הקורבן צריך לפתוח קובץ PDF או קישור שנשלח אליו, את הפרצה הזו אפשר להפעיל גם בזמן שאתם ישנים. לפני שתתעוררו, התוקף כבר יספיק להסיר כל סימן לפריצה למכשיר ואתם תמשיכו ביומכם כרגיל - עם סוס טרויאני בטלפון".

Zimperium דיווחה לטענתה לגוגל כבר באפריל על דבר המחדל החמור, ועדכנה את הדיווח במאי עם מידע נוסף, אך למרות שלכאורה טיפלה גוגל בבעיות במהרה - הבעיה ככל הנראה לא נפתרה בשל צוואר הבקבוק של עדכוני מערכת אנדרואיד: הצורך בדחיפת עדכונים עצמאית על ידי כל יצרן בנפרד.

בעוד מרבית היצרנים הגדולים עוד לא הגיבו לסוגיה, ניתן להניח שהמצב אצלם דומה לזה של HTC, שהודיעה כי "גוגל עדכנה את החברה בנושא וסיפקה לה את העדכונים הנדרשים, אותם התחילה HTC ליישם בפרויקטים החל מתחילת יולי". אדריאן לודוויג, המהנדס הראשי בצוות האבטחה של אנדרואיד, מסר כי החברה העבירה עדכונים ליצרני סמארטפונים המשתמשים באנדרואיד, אך החברה לא יכולה לוודא שהעדכונים אכן יגיעו לטלפונים של המשתמשים.

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    2
    walla_ssr_page_has_been_loaded_successfully