מחקר מצא פרצות אבטחה במכשירים של LG, אסוס ואחרות

מחקר אבטחה חדש חושף כי יצרניות הסמארטפונים עורכות שינויים בקוד של אנדרואיד, וגורמות לנזקים שיכולים להיות מנוצלים על ידי האקרים

צילום: גיקטיים

משתמשי אנדרואיד יודעים שהם חשופים ליותר מתקפות וחורי אבטחה מאשר מכשירי iOS, ולכן הם יודעים שהם צריכים להזהר יותר מאפליקציות מזויפות, וירוסים, לינקים חשודים והרשאות משונות. עם זאת, מחקר חדש של חברת האבטחה Kryptowire חושף כי ישנן לא מעט חולשות ופרצות שקיימות במכשירי אנדרואיד רבים, עוד לפני שאתם בכלל מניחים עליהם את ידכם ומוציאים אותם מהקופסה.

הבעיה נמצאת בשורש של אנדרואיד

כתוצאה מהעובדה שאנדרואיד הוא פרויקט קוד-פתוח, חברות צד שלישי יכולות לערוך שינויים בקוד שלו. כמעט כל היצרניות לוקחות את הקוד של אנדרואיד, ומשנות חלקים ממנו כדי להתאים אותו לחומרת המכשיר, ולאפליקציות נוספות מבית היצרנית. אותם שינויים גורמים לבאגים ברמת ה-Firmware שלפי דיווח של Wired, שנחשף לחלקים מהמחקר בטרם פירסומו, מסכנים את המידע והמכשירים של המשתמשים. האקרים אשר ינצלו את הפירצות המדוברות יכולים לעשות שלל נזקים למכשירים שלכם: גישה למיקרופון ולמצלמה, קריאה ושינוי של הודעות טקסט, גניבת מידע, ואפילו נעילה כוללת שלו.

“אפליקציות ו-Firmware שהותקנו מבעוד מועד מהווים סכנה כתוצאות מחולשות שנמצאות מראש על המכשיר, מה שהופך את המכשיר לחשוף למתקפות כבר בעת רכישתו”, כך נכתב בתיאור המחקר. בין המכשירים שנחשפו במחקר ככאלו בעלי בעיות אבטחה חמורות ניתן למצוא שמות בולטים כמו Asus, ZTE, Alcatel, Essential Phone ואפילו LG. כל החברות הללו (מלבד ZTE) הגיבו לידיעה של Wired, וטענו כי הן תיקנו את רוב הבעיות שהוצגו במחקר. עם זאת, טרם ברור האם העדכונים הללו הגיעו למכשירים של משתמשים, או שמה הם עדיין חשופים למתקפות הרסניות.

בשיחה עם Wired, מסר מנכ”ל החברה שביצעה את המחקר כי “רבים בשרשרת היצור רוצים להוסיף את האפליקציות שלהם, להתאים, ולהוסיף את הקוד שלהם. זה מגדיל את הסיכוי למתקפות, ומעלה את הסיכוי לשגיאות תוכנה”.

מה עושים? פשוט לא מורידים אפליקציות ממקורות לא ידועים

עם זאת, לפני שאתם נכנסים ללחץ, כדאי לדעת שכדי שהאקרים יוכלו לנצל את הפרצות המדוברות, על המשתמש להוריד אפליקציה זדונית כלשהי. אם אתם מורידים את האפליקציות שלכם מחנות ה-Google Play הרשמית, אתם לא אמורים להתקל בבעיות שכאלו, כיוון שגוגל סורקת את האפליקציות, ומסירה מעת לעת אפליקציות זדוניות או בעייתיות. עם זאת, המחקר מצביע על הבעיה כבעיה מהותית בקיום ובהגדרה של אנדרואיד, וגם אם היצרניות ימשיכו לתקן חורי אבטחה, הן גם ימשיכו ליצור אותן כל עוד הן עורכות שינויים בקוד המקורי, וכל עוד הן מוסיפות אפליקציות מובנות שלגוגל אין כל שליטה עליהן.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

להגיב

אין תגובות

תגיות לכתבה: