פירצת אבטחה חמורה באנדרואיד: גוגל משחררת עדכון

ביום שלישי האחרון גילתה קבוצת חוקרים גרמנית פירצת אבטחה הנוגעת ל-99% ממשתמשי אנדרואיד, היום גוגל סוגרת אותה

צילום: flicker, cc-by, ZYG_ZAG

עדכון עבור מערכת ההפעלה אנדרואיד החל לעשות דרכו למשתמשים לאחר שפירצת אבטחה חמורה נתגלתה בימים האחרונים ואשר מאפשרת לגורמי צד ג’ לגנוב נתונים הקשורים לרשימת אנשי הקשר ולוחות השנה המוזנים על גבי המכשיר.

גוגל תחל להפיץ את העדכון לכלל משתמשי אנדרואיד החל מהיום ובמשך הימים הקרובים בהפצה בינלאומית לאחר ש-99% מכלל משתמשי אנדרואיד חשופים לפירצה.

גוגל מגיבה

“היום אנחנו מתחילים להפיץ תיקון המתמודד עם פירצת אבטחה פוטנציאלית, היכולה, תחת נסיבות מסויימות, לאפשר לגורמי צד ג’ לגשת אל המידע השמור תחת רשימת אנשי הקשר ולוח השנה של משתמשי אנדרואיד”. כך בדברים שמסר אתמול דובר חברת גוגל למגזין PCMag.

אז למרות הניסוח המאוד מכוון של דובר גוגל שמנסה להבהיר עד כמה הפירצה שולית, דו”ח שפורסם לפני יומיים חשף כי פירצת האבטחה שנתגלה מוקדם יותר השבוע על ידי מספר חוקרים גרמניים נוגעת ל-99% מכלל משתמשי אנדרואיד וכי לאורך זמן ובהתחשב במבנה חנות האפליקציות של אנדרואיד היא בהחלט יכולה לפגוע באופן משמעותי במשתמשי מערכת ההפעלה.

מענה מהיר

ביום שלישי האחרון חשפו מספר חוקרים גרמנים מאוניברסיטת Ulm כי גילו פירצת אבטחה הנוגעת למערכת ההפעלה אנדרואיד הרצה על גבי סמארטפונים ומחשבי לוח אשר מתבססת על פרוטוקול ה-ClientLogin Authentication.

על מנת לבחון את הממצאים שגילו שלושת החוקרים, ערכו האחרונים ניסוי קטן ובו ניסו לפרוץ מכשיר אנדרואיד באמצעות הפרוטוקול. הניסוי העלה כי פירצת האבטחה אפשרית ולטענת החוקרים מעניקה גישה למקומות נוספים מלבד רשימת אנשי הקשר ולוח השנה.

המענה המהיר של גוגל לפרשה הנוכחית מעניק לא מעט קרדיט באשר להתנהלות החברה בכל הנוגע לבטיחות המשתמשים. גוגל משקיעה משאבים רבים באיתור של חורי אבטחה במוצריה השונים ומפעילה בין היתר פרוייקט המעניק פרסים כספיים למאתרי פריצות בדפדפן הבית שלה. בהתחשב בעובדה שפירצת האבטחה התגלתה רק ביום שלישי האחרון וזכתה לעדכון שנועד לחסום אותה יומיים לאחר מכן, יש בה להעיד על התנהלות מבורכת של ענקית החיפוש – לפחות בפרשה הנוכחית. אף על פי כן, תרחישים שכאלו גם חושפים את אחת מחולשותיה של האקו-סיסטם של אנדרואיד המאפשרת לאפליקציות להגיע ל-Android Market ללא מערך סינון קפדני במיוחד, דבר שעשוי לאפשר להן לנצל נקודות תורפה שנתגלו במערכת.

רועי לטקה

גיק טכנולוגי עם נגיעות של תפוח, עדיף שיגיע נגוס. חי נושם וצורך טכנולוגיה באופן אובססיבי אך מדוד. קרימינולוג בהשכלתו, לוחם בפשע ובממסד באופן סימולטני. חובב כתיבה וקריאה, ונהנה לבחון באופן מדוקדק כל דבר שניתן לפרק לגורמים, ממוצרי טכנולוגיה ועד נפש האדם.

הגב

13 תגובות על "פירצת אבטחה חמורה באנדרואיד: גוגל משחררת עדכון"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יוסי
Guest

לא מדובר ב”תוכנות צד שלישי” כפי שכתבתם.
מדובר בעובדה שאם המשתמש מתחבר לרשת לא מאובטחת (בדרך כלל רשת WiFi ציבורית פתוחה), אז כל מי שנמצא על אותה רשת יכול לגנוב את פרטי ההתחברות של המשתמש לשירותים של גוגל.
הסיבה היא שהמידע נשלח על גבי HTTP ולא HTTPS, ולכן הסכנה דומה מאוד למי שמשתמש ב Facebook ב HTTP מעל רשת לא מוצפנת (כפי ש Firesheep הדגים).

שמוליק
Guest

מה הקשר בין הפירצה שהתגלתה לבין מה שרשמת ?!

מה שאתה תיארת בכלל לא קשור למכשירי גוגל וד”א זה גם לא נכון כי פרטי המשתמש שלך נשלחים בHTTP לגוגל היות ואתר גימייל מזמן עובד רק בHTTPS, לעומת זאת FACEBOOK (שאני אישית מתעב) אפילו לא השקיעו את המינימום והאתר שלהם עדיין בHTTP. בכל מקרה, אין שום קשר ולו הקטן ביותר בין פירצת האבטחה שהתגלתה לבין כל מה שתואר ע”י יוסי שהגיב לכתבה.

יוסי
Guest

תקרא את הקישור בתוך הכתבה מ PCMag ותראה שאני צודק.
האפליקציות של גוגל (לא מהדפדפן, אלא ה Apps עצמן) משתמשות במנגנון דמוי cookies שנקרא ClientLogin. האפליקציות שולחות את ה tokens של ClientLogin ב HTTP, ולכן הן חשופות להתקפה דומה לגניבת cookies.

ובפעם הבאה תקרא את המאמר לפני שאתה מאשים אנשים אחרים…

רועי
Guest

גם Facebook עובד עם https.
פשוט צריך לבקש יפה (להוסיף את ה-S).. :)

מנדס
Guest

סליחה על החוסר ההבנה, אבל זה מתעדכן לבד? או שצריכים ללכת ולעדכן? תודה.

יוסי
Guest

… או להכנס לAccount Settings ולבחור
Browse Facebook on a secure connection (https) whenever possible

רועי
Guest

דרך פשוטה יותר היא להוסיף את האות S אחרי ה-HTTP בשורת הכתובת ואז תעלה הודעה האם לעבוד עם הפרוטוקול באופן קבוע.

ניר
Guest

לא הבנתי את הנושא הזה החיבור לGMAIL מתבצע ב HTTPS מהמחשב ובמקרה שלי כמו שנכתב למעלה גם הפיסבוק לגבי הפיסבוק גם אם סמנת להתחבר בHTTPS אני יודע שניתן עדיין להתחבר בHTTP משתמשי לינוקס מקבלים הודעה על חיבור לא מאובטח לפיסבוק בשימוש בתוכנות מסרים, בכל אופן האם מערכת אנדרואיד מתחברת בHTTP לGMAIL ?
שאלה נוספת מי שמשתמש באפליקציה orbot זאת האפליקציה של TOR נותנת לך חיבור פרוקסי לפי מה שאני יודע זה פותר את הבעיה לא לגמרי כי זה לא שרת פרטי כמו לעשות SSH TUNNEL למחשב בבית אבל עדיין לפי דעתי זה מספיק מאובטח האם אני צודק ?

ניר
Guest

עוד שאלה לא הבנתי איך יגיע העידכון דרך המרקט ?

יוסי
Guest

לניר:
השאלות שלך לא לגמרי ברורות לי, אבל אני אנסה:
מדובר בבאג במנגנון האותנטיקציה לאפליקציות אנדרויד של גוגל, והוא משפיע על אפליקציות שבחרו להשתמש בו (כולל האפליקציות שפותחו ע”י גוגל).
לגבי Facebook, ההגדרה שדיברתי עליה גורמת לFacebook להעדיף HTTPS כאשר זה אפשרי, ולא תמיד.
לגבי Orbot, אם יש לך מכשיר פרוץ ואתה משתמש ב Transparent Proxying, אז אני מאמין שהתשובה היא כן, אבל אם לא אז האפליקציות לא עוברות דרך Orbot. אם יש לך מכשיר פרוץ, אז אם תעדכן לאנדרויד גירסה 2.3.4, הבעיה כבר לא קיימת.
כמו כן, גוגל טוענת שהיא כבר החלה להפעיל תיקון בשרתים שלה שפותר את הבעיה לכלל המשתמשים.

ניר
Guest

לגבי העידכון ל 2.3 אני מחכה קצת בישביל תמיכה בעיברית מלאה, מוזר לי שאתה קורא למכשיר שיש לו רוט “פרוץ”, זה לא שגוגל עשתה מאמצים למנוע את זה ממך זה לא IPHONE בכל אופן לגבי ORBOT בהתחלה הוא שואל אותך אם אתה רוצה שהאפליקציות יעברו דרכו ככה שזה מסומן אצלי, בכל אופן נשמח לשמוע פה עידכונים של אנשים אחרי תיקון הפירצה :)

אחד שיודע כמה הוא יודע
Guest
אחד שיודע כמה הוא יודע

באפל זה לא היה קורה!

ג'ורג
Guest

נכון. אפל היו גונבים את נתוני הלוגין שלך בעצמם.

wpDiscuz

תגיות לכתבה: