כנס Defcon : כשל אבטחתי במכשירי אנדרואיד

שני חוקרים מצאו פגם עיצובי שיכול לעזור להאקרים לגנוב ממשתמשי אנדרואיד מידע ולסייע למפרסמים להשתלט על המסך

flickr, cc-by MJ/TR (´・ω・)

בכנס ה-Defcon השנתי הציגו שני חוקרים פגם עיצובי במכשירי אנדרואיד, שיכול לשמש פושעים ככלי לגניבת מידע או לאפשר למפרסמים להקפיץ פרסומות על מסך הסלולר שלנו. האם לגוגל יש סיבה לדאגה?

אנדרואיד נלחמת

שני החוקרים, ניקולס פרקוקו (Nicholas Percoco) סגן הנשיא בחברת Trustwave ושון שולט (Sean Schulte) מפתח SSL בחברה, טוענים כי קיים כיום פגם עיצובי במכשירי אנדרואיד, בעזרתו מפתחים יכולים ליצור אפליקציה שנראית לא מזיקה, אך ביכולתה להציג למשתמש חלון Log-In מזוייף למגוון אתרים בהם חשבון הבנק שלו, חשבון הפייסבוק ואפילו חשבון אמזון. בעוד שהמשתמש חושב שמדובר באתר לגיטימי, הוא בעצם נותן את פרטיו לתוכנה זדונית.

בנוסף, משחק או אפליקציה יכולים ליצור הודעות Push שיקפצו אל קדמת המסך, גם במידה והמשתמש נמצא כרגע באפליקציה אחרת. ההודעות יכולות “לחטוף” את המסך ולא לתת למשתמש אפשרות לצאת ממנו. לדוגמה, במידה ואנו משחקים במשחק של חברה מסויימת , משחק אחר של חברה אחרת המכיל את התוכנה הזדונית יכול להקפיץ חלונית שתמנע מאיתנו את האפשרות לשחק. עוד פגם שהתגלה הוא האפשרות לבטל את הפונקציה של כפתור Back, כך שגם אם המשתמש מנסה לחזור אל המשחק המקורי, לחיצה על הכפתור לא תבצע שום פעולה.

כיום, אפליקציות שרוצות לתקשר עם המשתמש, יכולות להציג לו הודעות Push שיופיעו ב-Notification Tray העליון ולא יפריעו לפעולה שכרגע הוא מבצע בטלפון. הפגם שמצאו מאפשר לאפליקציה “לגנוב את הפוקוס” ובעצם להכריח אותו להתייחס אליה. בכנס יצרו החוקרים כלי שמציג את עצמו כמשחק, אך בעצם מציג חלון כניסה מזוייף לפייסבוק, אמזון, Google Voice ואפילו Gmail. בעוד שהמשתמש חשב שהתקין משחק פשוט, הכלים מתקינים את עצמם בנוסף ומתוכננים לגנוב מידע מהמשתמש.

כשהדגימו את הכלי, ניסו לפתוח אפליקציית משחק שבעצם הובילה לחלון הכניסה של פייסבוק. הסימן היחידי שמשהו אינו כשורה היה כשהמסך הבהב, אך עשה זאת בצורה מהירה כך שלא היה ניתן לשים לב. המסך המזוייף מחליף לחלוטין את המקורי, ולמשתמש אין סיבה לחשוב שמשהו אינו כשורה. שני החוקרים הודיעו לגוגל על הפגם, כעת רק נשאר לחכות שתתקן אותו.

הרבה עבודה

נדמה שפטנטים הם לא הדבר היחידי שמעסיק את גוגל השבוע. בעוד שהאשימה חברות גדולות שמנסות לחבל בפופולאריות הצומחת של מערכת ההפעלה שלה, נדמה שהיא רחוקה מלהיות מושלמת. אמנם כיום אין מערכת הפעלה שאין בה בעיות, אך נדמה כי על גוגל להתמקד קודם כל בשיפור המוצר שלה, לפני שמאשימה גורמים חיצוניים שבגללם האהדה כלפי אנדרואיד יכולה ליפול.

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

1 תגובה על "כנס Defcon : כשל אבטחתי במכשירי אנדרואיד"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
חן
Guest

איזה גרוע זה להם !

wpDiscuz

תגיות לכתבה: