אשראי המאמין – soundminer

חוקרי אבטחה פיתחו אפליקציה לאנדרואיד המסוגלת “לדוג” את פרטי כרטיס האשראי שלכם לא רק כשאתם מקלידים אותה, אלא גם כשאתם אומרים אותה בטלפון.

cc-by-CELALTEBER

כשמשתמש אנדרואיד מתקין אפליקציה הוא נדרש לאשר רשימה ארוכה של הרשאות גישה שממנה תהנה האפליקציה. דברים אלה משתנים מאפליקציה לאפליקציה וכוללים גישה לאינטרנט, ביצוע שיחות, שליחת SMSים ועוד.

המשתמש הממוצע רואה את “נוהל אישור האפליקציה” כבזבוז זמן ופשוט מאשר את האפליקציה. במילים אחרות – גן עדן ל”דייגים”.

אפליקציות למטרת פישינג באנדרואיד זה לא דבר חדש (ראו לדוגמא את Tapsnake), דבר זה הביא חבורה של חוקרים מאוניברסיטאות הונג קונג ואינדיאנה לפתח את האפליקציה soundminer כפרויקט proof-of-concept (הוכחת עיקרון).

המיוחד באפליקציה הזו הוא שהרשאות שהיא מבקשת מסתכמות בגישה ל’שיחות’, על מנת לקרוא את מצב הטלפון, ל’מידע האישי שלך’ כדי לקרוא מידע על אנשי קשר ו’בקרת חומרה’ כדי להקליט אודיו. על פניו נראה לגיטימי כשמדובר באפליקציה להקלטת קול.

מהרגע שהיא הותקנה על הטלפון ה soundminer יושבת בשקט ברקע ומחכה לשיחה, כשהשיחה לבסוף נכנסת היא מאזינה בסבלנות ומקליטה את הנאמר עד שהיא קולטת מספר כרטיס אשראי ומבצעת את הפעולה הנדרשת כדי להפוך את הקלטת הקול למספרים. המפתחים אף העלו סרטון ל youtube שמדגים את פעולת האפליקציה.

והנה הדובדבן שבקצפת. ל-soundminer עצמה אין הרשאת גישה ל’תקשורת רשת’ ועל מנת שהיא תוכל לשלוח את הנתונים שאספה לגורם חיצוני היא זקוקה לעזרה של אפליקציה נוספת. אפליקציה זו נקראת deliverer והיא קיימת למטרה הזו בלבד – לשלוח את המידע לתוקף.

האנדרואיד מוגבל, אבל גם את זה אפשר לעקוף

כשגוגל תכננה את האנדרואיד היא דאגה להגביל תקשורות מסוימות בין האפליקציות, אבל המפתחים במקרה הזה מצאו דרך לעקוף את אותן הגבלות. במקום לשלוח את המידע באופן ישיר מתוכנה אחת לאחרת, הם משתמשים בצורה מתוחכמת של קוד מורס. כן, ‘גוד אולד’ קוד מורס היא קרוב לוודאי שיטת התקשורת הבינארית הנפוצה הראשונה.

נקודות ומקפים הם לא שונים בהרבה מאחדים ואפסים. אפליקציה אחת משנה משהו כמו בהירות המסך בזמן שהאפליקציה השנייה קוראת את בהירות המסך. לצורך הדוגמא נגיד שבהירות מקסימאלית זו נקודה וכל דבר פחות מזה זה מקף. ביצירת שינויים קלים בבהירות המסך ניתן להעביר מידע רב בין תוכניות, בלי שהמשתמש בכלל ידע על זה.

במקרה זה האפליקציה פותחה כ proof-of-concept אבל המסר הוא ברור. השתמשו באנדרואיד שלכם בחוכמה ולפני שאתם מתקינים אפליקציה תשאלו עצמכם עד כמה באמת אתם צריכים את האפליקציה הזו. הבחירה הטובה ביותר במקרה כזה תהיה לא להתקין הרבה אפליקציות שאתם יודעים עליהן כל כך מעט.

Avatar

רנדי אברמס

הצטרף ל- ESET ביולי 2005 בתפקיד הדירקטור לחינוך טכנולוגי. במסגרת תפקידו מעביר רנדי הדרכות לעובדי ומפיצי ESET בכל העולם. לפני שהצטרף ל- ESET עבד רנדי בחטיבת אבטחת המידע של מיקרוסופט במשך 12 שנים בפיתוח תהליכים שמטרתם למנוע ממיקרוסופט לשחרר תוכנות נגועות.

הגב

1 תגובה על "אשראי המאמין – soundminer"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
א.ב.
Guest

אולי תוכל להוסיף גם טיפים היכן וכיצד לבדוק אמינות של אפליקציות / תוכנות, במיוחד כאלו חדשות שאין עליהן עדיין הרבה ביקורות…

wpDiscuz

תגיות לכתבה: