פירצת אבטחה פשוטה באנדרואיד מאפשרת לצלם את המשתמשים ללא ידיעתם

חוקר אבטחה הצליח לנצל בערמומיות חור במערכת ההפעלה אנדרואיד, המאפשר לאפליקציות זדוניות לצלם תמונות וסרטוני וידאו מהמכשיר ללא ידיעת המשתמש.

קרדיט תמונה: Shutterstock

קרדיט תמונה: Shutterstock

לאחר תקופה יחסית שקטה בגיזרת פרצות האבטחה, אנחנו שוב מגלים כי גם בחברה גדולה ורצינית כמו גוגל אפשר לעשות טעויות ולהשאיר חורים פתוחים מידי פעם. בלוגר בשם Szymon Sidor, בעל בלוג האבטחה Snacks for your mind הציג חור אבטחה שלטענתו, מאפשר לאפליקציות לגשת למצלמת המכשיר בכדי לצלם תמונות וסרטוני וידאו, מבלי שהמשתמש ידע מה קורה בכלל. חשוב לציין כי גוגל עושה עבודה מצוינת לאחרונה בחיסול אפליקציות זדוניות מחנות ה-Play שלה – על פי דו״ח של חברת האבטחה F-Secure פחות מ-0.1 אחוזים מהאפליקציות בחנות מכילות קוד זדוני, אך עדיין ישנן חנויות צד-שלישי ואתרי ״אפליקציות חינמיות״ שונים המציעים את מרכולתם ומכילים בדרך כלל, אפליקציות בעלות קוד זדוני כלשהו.

פיקסל אחד שעושה הרבה כאב ראש

החוקר מצא כי יצירת אפליקציה פשוטה, המנצלת פרצת אבטחה מהותית במערכת ההפעלה מאפשרת לו ללכוד תמונות ולהקליט סרטוני וידאו באמצעות המצלמה ולהעלות אותם לשרת, מבלי שהמשתמש ידע על כך. Sidor סיפר כי הוא הבחין ביישומים רבים המסוגלים לקחת תמונות בחשאי, אך כל אחד מהם דרש אינדיקציה גלויה על המסך בכדי לפעול. בהתאם לכך, הוא התחיל לנסות לראות האם יש דרך לבצע את אותה הפעולה, ללא אינדיקציה הנראית לעין. לאחר מספר ניסיונות, הוא בנה אפליקציה העומדת בכל הדרישות הללו, אך מנצלת שטח של 1×1 פיקסלים בלבד על המסך ולכן נסתרת לחלוטין מעין המשתמש. האפליקציה מסוגלת גם ללכוד פרטים אחרים מהמכשיר, כגון רמת הסוללה ואפילו את מיקום המכשיר.

״אני ממש אוהב את ה-SDK של אנדרואיד, הוא נותן למפתחים הרבה כוח ויש מספר דברים אפשריים באנדרואיד שפשוט יהיו בלתי אפשריים בפלטפורמות אחרות.״ לאחר שפירט בפוסט את סדר הפעולות אותן ביצע עד שהגיע לדרך המנצלת באופן מלא את פירצת האבטחה, הוא גם הסביר כיצד ניתן להתגונן כנגד אפליקציות כאלו. ״שימו לב להרשאות האפליקציות אותן אתם מתקינים (לדוגמא, האם אפליקציה בשם Simple Notepad באמת זקוקה לגישה למצלמת המכשיר?), שמרו על חשבון ה-Google שלכם – כך שלאף אחד לא תהיה גישה להתקין אפליקציות על הסמארטפון שלכם מרחוק, מבלי שאתם מאשרים את זה. הגדירו אימות דו-שלבי, שנו את סיסמתכם מעת לעת. בנוסף, הסתכלו על היישומים שפועלים ברקע ובדקו אם נמצאים שם יישומים חשודים (שוב, אין סיבה ש-Simple Notepad תפעל ברקע). לבסוף, היו ערים לאפליקציות הצורכות סוללה ודאטה באופן משמעותי.״

וידאו: הדגמה של פירצת האבטחה שהתגלתה

קרדיט תמונה: Android robot with laptop and umbrella. Security concept. Isolated on white / Shutterstock.com

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

4 תגובות על "פירצת אבטחה פשוטה באנדרואיד מאפשרת לצלם את המשתמשים ללא ידיעתם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
android developer
Guest

זה ממש לא נחשב פירצה.
המשתמש מודע למה שהאפליקציה שהוא מתקין רשאית לעשות.
כל אפליקציה שנותנים לה גישה למצלמה או ל GPS יכולה להשתמש בזה ברקע .
אם זה נחשב פירצה, אז כל אפליקציה שעושה משהו ברקע נחשבת זדונית – היא עושה דברים מבלי שהמשתמש ישים לב.
ככה זה לכמעט כל הרשאה – אם לאפליקציה יש הרשאה מסויימת, היא לא חייבת לעשות זאת כשהמשתמש יודע על כך או כשהוא מסתכל על המסך.

Yair Barak
Member

די מצחיק (-:
אם המשתמש רואה כשהוא מתקין את האפליקציה שהיא מבקשת הרשאה למצלמה, זה רחוק מלהיות “פרצה באבטחה”…

דרך אגב, אפשר די בקלות לפתוח מצלמה גם בלי לבקש את ההרשאה הזו (דרך ה- NDK).

עמרי
Guest

דמגוגיה בגרוש וחצי.
זאת לא “פירצת אבטחה” בכלל! הוא פשוט הראה איך אפשר ליצור אפליקציה שמפעילה את המצלמה (דהה..) ושאפשר להפעיל אותה כך שתהיה שקופה למשתמש (שוב, דההה) …. אין פה שום “פירצת אבטחה” אלא תכונות בסיסיות של אפליקציה סטנדרטית, שאגב דורשת אישור לאותן הרשאות מתאימות בזמן ההתקנה.

זה בערך כמו להגיד שנמצאה פירצת אבטחה בצה”ל כי אפשר להתגייס לצבא, לקבל נשק, לצאת איתו הביתה, ואז להתחיל לחסל אנשים תמימים ברחוב….

איתמר
Guest

אתם חושבים שהאדם ה”רגיל” בודק מה עושה האפליקציה שהוא מוריד?
אם היא מגניבה, או עונה לכל צורך אחר, האדם הלא טכנולוגי פשוט יתקין וילחץ על המשך התקנה גם יהיה שם כתוב שהטלפון יתפוצץ בהמשך.

wpDiscuz

תגיות לכתבה: