מחקר חדש מגלה: בעיות אבטחה חמורות באנדרואיד

מחקר חדש שמקורו באוניברסיטת הנובר בגרמניה חושף פירצות אבטחה בגירסאת Ice Cream Sandwich של אנדרואיד שעלולות להשפיע על מיליוני משתמשים

מקור: יח”צ

אפליקציות שונות לאנדרואיד, אשר הורדו על ידי 185 מיליון משתמשים בקירוב עלולות לחשוף פרטים חיוניים של משתמשים, כגון פרטי בנק, אשראי, אמצעי אימות ברשתות חברתיות והודעות דואר אלקטרוני, הסיבה: האפליקציות משתמשות בטכניקות הצפנה לא מספיק טובות. כך מתגלה ממחקר חדש שנערך על ידי חוקרים מאוניברסיטת הנובר (Hannover).

החוקרים זיהו 41 אפליקציות בחנות האפליקציות של גוגל Play Store, אשר הדליפו מידע רגיש כאשר הועבר בין השרתים של שירותים כמו אפליקציות בנקאיות, אל מכשירי האנדרואיד המריצים את גירסאת ICS של מערכת ההפעלה. על ידי חיבור של המכשירים האנדרואידים לרשת מקומית נגועה בנוזקות ופרצות אבטחה ידועים לשמצה, הצליחו החוקרים לפצח את חבילות המידע שהועברו על ידי האפליקציות.

פתוח ופרוץ

האפליקציות הבעייתיות לא נחשפו, אך החוקרים ציינו כי אחת הסיבות לביצוע המחקר היא העובדה שמערכת ההפעלה של גוגל מתבססת על פלטפורמה פתוחה, ורצו לראות עד כמה חשופה לפירצות אבטחה.

המחקר נפתח על ידי הורדת 13,500 אפליקציות חינמיות מחנות האפליקציות של גוגל, ובדיקת אפליקציות שהיו מועמדות לפרצות אבטחה וחורים ב-SSL, שאיפשרו לחוקרים למצוא פרצות בתקשורת עם נקודות WIFI ציבוריות, ורשתות בלתי מאובטחות אחרות. תוצאות הבדיקה הניבו 1,074 אפליקציות, או לצורך העניין 8 אחוזים מכלל האפליקציות שהורדו, אשר הכילו פירצות בקוד ה-SSL, והיוו מטרות לגיטימיות להתקפות שונות.

“הצלחנו לחשוף מידע חיוני כמו פרטי חשבון בנק, פרטי אימות בפייפאל, אמריקן אקספרס ואחרים” אמרו החוקרים הגרמנים. “בנוסף לכך, סיסמאות של שירותים כגון דואר אלקטרוני, פייסבוק ושירותי ענן שונים נחשפו, גישה למצלמות רשת ניתנה ושליטה בשרתים מרוחקים התאפשרה, בנוסף לחשיפת הודעות טקסט ודואר אלקטרוני”. בגוגל סירבו להגיב על מסקנות החוקרים, ואין שום ראיות על אפליקציות חשופות לפירצות האבטחה שיוצרו על ידי עובדי גוגל. עם זאת, החוקרים הבהירו כי המהנדסים של גוגל יכלו לעשות מעט יותר על מנת לחסום את פרצות האבטחה הללו.

אין ספק, שהנתונים הללו מדאיגים, בעיקר לאור הפופולאריות של פלטפורמת האנדרואיד. על פי החוקרים אפליקציות פופולאריות שהורדו מחנות האפליקציות של גוגל מהוות חורי אבטחה רציניים במערכת. כמובן שהאחריות על כך לא נופלת רק על המהנדסים של גוגל, אלא גם על מומחי אבטחת המידע שעובדים בחברות האפליקציות הפופולאריות. יהיה מעניין לראות האם הפירצות הללו כבר נחסמו בגירסא הבאה של Jelly Bean, גירסא 4.2 המכילה עדכוני אבטחה רבים, אך עד אז, עדיף להיזהר ולא להוריד אפליקציות שאינכם בטוחים מה הן עלולות לעשות במכשיר שלכם, ולהימנע מחיבור לרשתות ציבוריות בלתי-מאובטחות.

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

5 תגובות על "מחקר חדש מגלה: בעיות אבטחה חמורות באנדרואיד"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
גברי
Guest

אנדרואיד היא בעיית אבטחה אחת גדולה,כל עוד אתה ביידים של גוגל אתה בבעיה,לומדים להתרגל להסתדר בלעדיהם כמו שלמדנו להסתדר בלי פלאש,שומר נפשו ירחק.

צחי
Guest

אין גישה למחקר – תוכלו לצרף לינק עובד?

אנדרואיד
Guest

תגידו, מה נסגר איתכם ?
זה בדיוק כמו להאשים את הקבלן שפרצו לכם לדירה שהוא בנה כי לא השתמשתם במנעול או באזעקה כמו שצריך.

הבעיה היא במפתחי האפליקציות שלא דואגים לאבטחה ולשמירת הפרטיות של המשתמשים.
למה אפליקציה כו נפוצה כמו whatsapp לא מצפינה את התעבורה בין המכשיר לשרת, למה משתמשת במספר IMEI באנדרואיד או ב MAC באייפון כסיסמא כאשר כל אפליקציה אחרת יכולה לקבל גישה לפרטים הללו ובכך כל מפתח אפליקציה יכול בקלות לשלוח ולקבל הודעות בשמם של משתמשים אחרים.
אז גוגל ואנדרואיד אשמים שוואטסאפ לא שומרים על המשתמשים שלהם ?

ניר
Guest

1+

יוסי
Guest

לינק עובד: http://www2.dcsec.uni-hannover.de/files/android/p50-fahl.pdf
והמגיב הראשון צודק, זו לא בעיה באנדרויד אלא באפליקציות ספציפיות.

wpDiscuz

תגיות לכתבה: