חוקר ישראלי: אפליקציות אנדרואיד יכולות לקבל עליכם מידע בלי לבקש הרשאות

החוקר גילה כי אפליקציות יכולות לקבל גישה למידע כמו כתובות ה-MAC של מכשירי אנדרואיד וכל המכשירים המחוברים לאותה הרשת – מבלי לבקש הרשאות. ומה לגבי התיקון? זה ייקח זמן

צילום: גיקטיים

פרטיות המשתמשים במערכות הפעלה לסמארטפונים לא תמיד עמדה בראש סדר העדיפויות של חברות כמו גוגל ואפל, אך עם השנים נרשם שינוי תפיסה שכלל הקשחת מתן הרשאות לאפליקציות לקבלת מידע על המשתמשים. למרות שבגרסאות החדשות של אנדרואיד, רוב השליטה בידי המשתמשים – חוקר אבטחה ישראלי מצא חולשה שעדיין יכולה לחשוף מכשירים למעקב מצד גורמים חיצוניים.

האפליקציה שלא צריכה הרשאות כדי לעקוב אחריכם

דור אלט, חוקר ומפתח בתחום אבטחת המידע, גילה במסגרת מחקר שערך על אפליקציות אנדרואיד בתחום ה-Network, שתי חולשות אבטחה במערכת ההפעלה הפופולרית של גוגל. מהמחקר עולה כי על ידי ניצול החולשות, ניתן להתגבר על מנגנוני אבטחה שונים שיישמה גוגל, ולהגיע למידע רגיש כמו כתובת ה-MAC של מכשיר מסוים או של כמה מכשירים אחרים, המחוברים לאותה רשת WiFi מסוימת – וזאת ללא בקשת הרשאות כלשהי מהמשתמש.

כתובת MAC או Media Access Control address היא “תעודת הזהות” שמוטמעת בכל רכיב או מכשיר עם יכולות תקשורת כמו כרטיסי רשת. פורמט הכתובת מורכב מ-6 זוגות של תווים כולל ספרות ואותיות, מה שמאפשר כ-280 טריליון צירופי כתובות שונים. בין היתר מאפשרת כתובת ה-MAC לזהות מכשירים ייחודיים או לתת גישה לרשת על בסיסה.

אלט גילה כי אפליקציות שיכולות להיראות תמימות לחלוטין יכולות לעקוף הגנות על פרטים רגישים כמו כתובת ה-MAC של המכשיר מבלי לבקש הרשאה מבעל המכשיר. הוא גילה כי על ידי חיבור בין האפליקציה לרכיב רשת (על ידי התחברות ל-WiFi) מפעילי האפליקציה יכולים לקבל גישה לכתובת ה-MAC של המכשיר ולעקוב אחרי בעליו.


כל העדכונים מחכים לכם בערוץ הטלגרם שלנו – להצטרפות לחצו כאן


החולשה שגילה אלט עוקפת מנגנוני פרטיות שגוגל הכניסה לאנדרואיד החל מגרסה 6 (מרשמלו) שהיו אמורים למנוע מאפליקציות ומכשירים אחרים לקרוא את פרטי החומרה של כרטיסי רשת (כתובת MAC, בין היתר) וזאת כדי למנוע מעקב אחרי משתמשים.

אלט גילה בנוסף כי מלבד הגישה לפרטים של המכשיר שעליו מותקנת האפליקציה, על ידי התחברות ל-WiFi, מאפשרת החולשה למפתחי האפליקציה גישה לכתובות ה-MAC של כל המכשירים הנמצאים על אותה רשת אלחוטית. מדובר ביכולת שלא אמורה להיות לשום אפליקציה, אלא אם כן קיבלה “הרשאות מסוכנות” (Dangerous Permission) כמו גישה למיקום וכרטיס רשת.

אלט אומר כי הוא הצליח לנצל את החולשה שגילה באמצעות אפליקציה בגרסאות נקיות של אנדרואיד (מגרסה 6 עד 10) ובשני מכשירים של סמסונג (גלקסי S8 ו-S9) שעליהם אנדרואיד 9.0 עם כל עדכוני האבטחה האחרונים. הוא אומר כי גם צוות החוקרים של גוגל שלהם דיווח על החולשה אישרו את היכולת להפעיל אותה בגרסאות אלו.

כך יכול להיראות שימוש לרעה במידע שהושג מבלי הרשאת המשתמש:

ומה עם תיקון?

אנחנו מפרסמים את החולשה היום – חודשיים בדיוק לאחר שאלט דיווח לגוגל על החולשה – בהתאם למדיניות אסגרת החולשות של Project Zero של גוגל. ענקית הטכנולוגיה אמנם נוהגת לתגמל אנשים שגילו באגים ופרצות אבטחה במוצריה (תוכנית Bounty), אולם בשיחה עם גיקטיים מספר אלט כי במקביל לגילוי ולדיווח שלו, דיווח גם מהנדס של גוגל על בעיה דומה. מגוגל נמסר לאלט כי התיקון לחולשה “צפוי להגיע בעדכון התוכנה הגדול הבא” (Upcoming Major Release) של החברה, אך לא פירטו מעבר לכך. לא מן הנמנע שמדובר בגרסה 11 של אנדרואיד, שאמורה לצאת ברבעון השלישי של השנה.

הבעיה בהמתנה לגרסה 11 היא העובדה שעדיין לא ברור מתי גרסה זו תעלה לאוויר, וגם אז – הראשונים שיקבלו אותה הם בעלי מכשיר פיקסל שהם נתח קטן מבעלי מכשיר אנדרואיד. לאחר מכן צריכה כל יצרנית להתאים את הגרסה ל-OS שלה (סמסונג ל-OneUI, וואן פלוס ל-OxygenOS וכדו’) – מה שיגרור דחייה נוספת בהגעה של העדכון למשתמשים.

 

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

14 תגובות על "חוקר ישראלי: אפליקציות אנדרואיד יכולות לקבל עליכם מידע בלי לבקש הרשאות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יענקילביץ
Guest

בקיצור חברים , עלינו לצאת מנוקדת הנחה שהכל פרוץ ומה שחשוב לשמור לשים בפתק במגרה

יואב
Guest

כל הכתבה הזאת, ורק מדברים על זה שאפשר למצוא את ה mac addresses. אבל מה עושים עם זה?
כתוב שהפורץ יכול “לעקוב” אחרי הקורבן. מה הוא יכול לדעת?
כתבה שלמה עם מלא מילים אבל בלי תכלס.
אושר, אוהב את הכתבות שלך אבל פישלת פה

תמיר
Guest

אולי אתה רוצה גם קורס בתקשורת נתונים?
לך תקרא קצת, עצלן

משה
Guest

במילים פשוטות, זה מאפשר לאפליקציה לקבל את המיקום שלך בלי שתיתן לה את ההרשאה הזאת.

דור
Guest
היי, אני גיליתי את החולשה. בנוסף ליכולות המעקב, הפורץ יוכל גם לקבל אינפורמציה על כל המכשירים שמחוברים לWIFI שאליו מחובר המכשיר אנדוראיד. הראתי פה יכולות בסיסיות שכוללות זיהוי MAC, כמובן שתוקף יכול להוציא מידע נוסף בשימוש בפרוטוקולי רשת אחרים (כמו UPnP למשל שידוע על חולשותיו הרבות) . החולשה הזאת היא רק ‘דריסת הרגל’ של התוקף ואחריה הוא יוכל לעשות עוד הרבה דברים. כמובן שכל זה לא היה מעניין אם האפליקציה של התוקף הייתה מקבלת הרשאות כדי לעשות את זה , במקרה הזה ניתן היה להאשים את המשתמש אך מכיוון שלא צריך שום הרשאות כדי לבצע את הפעולות האלה, זאת הבעיה.
דור
Guest

אגב , אפשר לראות בסרטון הבא שהכנתי גם אין עניין ההרצה ללא הרשאות https://www.youtube.com/watch?v=Q5lYQ3Qn95E

ירמי
Guest

בשבת הטלפון שלי הנתונים שלי סגורים רק הטלפון פתוח, ואני שומע במשך השבת מלא התראות על אף שהאינטרנט סגור איך אתם מסבירים זאת?

גוגל
Guest

SMS

אנונימי
Guest

אפליקציה לא צריכה קישור לאינטרנט על מנת לשלוח לך התראה.

ביל
Guest

לבונים החופשיים יש מזימה לעקוב אחר כל אזרח בכדור הארץ
בכירי גוגל מייקרוסופט ואפל חברים בארגון הענק
בעזרת אנטנות הG5 שכבר פועלות 3 שנים בארץ ניתן לשלוח לך התראות גם כשהטלפון כבוי(!!)
ניתן לעקוב אחריך להפעיל לך את המצלמה ולצלם אותך גם כשאתה לא מסתכל לכיוונה בעזרת מיפוי תלת מימדי הבוחן את שבירת קרני האור מסביב למצלמה

ק\'ר
Guest

“במקביל לגילוי ולדיווח שלו, דיווח גם מהנדס של גוגל על בעיה דומה”
או במילים אחרות “תודה על הרעיון. למה שנשלם לך?”

קארין
Guest

כתבה מעניינת (מבחינת הטקסט יכל להיות קצת יותר מקצועי) – ומביא נושא חשוב לתשומת לב של אנשים שגם פחות בקיאים בנושא, כמוני. אין ספק שהחוקר דור אלט מאוד מוכשר ועוד נשמע עליו רבות בתחום.

קארין
Guest

כתבה מעניינת (הטקסט לא מספיק מקצועי לעניות דעתי) – מביאה לתשומת לבם של אנשים נושא מאוד חשוב. אין ספק שהחוקר דור אלט מאוד מוכשר ועוד נשמע עליו רבות בתחום זה.

מתעניין.
Guest

תוכל לאשש איזה הרשאות כן ניתנות לאפליקציה, כמו כן האם מדובר בקוד למטה?

יש עליו דיון רחב בסטאק-אובר, יחסית ממזמן.

https://robinhenniges.com/android-6-0-you-can-no-longer-access-the-mac-address-you-can/

wpDiscuz

תגיות לכתבה: