האם גם הבלאקברי סובל מבעיות אבטחה?

אחרי שנחשפו השבוע מספר בעיות אבטחה משמעותיות בפלטפורמת האייפון, מסתבר שגם הבלאקברי אינו מאובטח כפי שחשבנו. הבלאקברי, מתיימר להיות מכשיר המיועד לשימוש ארגוני ולכן הדרישה לאבטחה המידע הנמצא עליו גבוהה יותר, אך חוקר אבטחת מידע בשם טיילר שילדס חשף השבוע כי פלטפורמת הבלאקברי חשופת לבעיות אבטחת כמו כל פלטפורמה אחרת.

blackberry_securityאחרי שנחשפו השבוע מספר בעיות אבטחה משמעותיות בפלטפורמת האייפון, מסתבר שגם הבלאקברי אינו מאובטח כפי שחשבנו. הבלאקברי, מתיימר להיות מכשיר המיועד לשימוש ארגוני ולכן הדרישה לאבטחה המידע הנמצא עליו גבוהה יותר, אך חוקר אבטחת מידע בשם טיילר שילדס חשף השבוע כי פלטפורמת הבלאקברי חשופת לבעיות אבטחת כמו כל פלטפורמה אחרת.

במהלך בהדגמה קצרה שסיפק, הדגים שילדס כיצד הוא יכול לשלוח הודעת SMS קצרה שתגרות למכשיר להעביר בחזרה אליו את כל רשימת אנשי הקשר השמורים במכשיר באמצעות הודעת דואר אלקטרוני. באמצעות SMS נוסף, הדגים שילדס כיצד הוא מקבל עותק במייל של כל הודעת SMS שיוצאת מהמכשיר. שילדס ציין כי באמצעות אותם אמצעים, הוא יכול לנטר את כל הודעות הטקסט הנכנסות למכשיר, לעקוב אחרי בעל המכשיר בזמן אמת באמצעות רכיב ה-GPS המובנה במכשיר ואף להפוך את המכשיר למיקרופון המאזין ומקליט את כל השיחות המתקיימות בסביבות. את הפיתוח של תוכנת ה-Spyware, הנקראת TXTSBBSpy, עשה שילדס באמצעות שימוש ב-API המובנה של בלאקברי והוא מזהיר כי כמעט בכל מכשיר חכם היום ישנן אפשרויות לעשות דברים דומים. לדברי שילדס, התוכנה יכולה לקחת כל מידע הקיים במכשיר ולהעביר בזמן אמת או באמצעות Snapshots של מידע לכל שרת Web או אמצעי תקשורת אחר שעובד ב-TCP או ב-UDP.

חשוב לציין כי אף על פי שהשליטה בתוכנה נעשתה באמצעות הודעות SMS, על התוכנה להיות מותקנת במכשיר לפני שנוכל לבצע כל פעולה זדונית. את המטרה הזאת ניתן להשיג במגוון אמצעים שחלקם כוללים שליחת קישור לאתר שברגע שהמשתמש יגלוש אליו באמצעות המכשיר התוכנה תתקין את עצמה, או באמצעות החדרת אפליקציות “זדוניות” אל חנות האפליקציות של בלאקברי בדומה לאפליקציות עליהם דיברנו מוקדם יותר השבוע שהצליחו לחדור אפילו מבעד להגנת המדוקדקת של חנות האפליקציות של אפל.

אף על פי כן, בניגוד למכשירי האייפון, בפלטפורמת הבלאקברי ישנם אמצעי אבטחה קצת יותר מתקדמים המאפשרים להגדיר את ההרשאות של כל אפליקציה בנפרד. לדוגמה, אחת האפשרויות הקיימת במנגנון האבטחה של הבלאקברי מאפשר להגדיר בדיוק לאיזה מידע בתוך המכשיר תהיה גישה לכל אחת מהאפליקציות. במקרה הזה, המכשיר באמת עונה על התנאים, אבל בדיוק כמו במקרים אחרים (דוגמת חלונות 7 ו-Bitlocker), גם כאן החוליה החלשה היא המשתמש. אפשר להאשים את המכשיר שעם האפשרות של “Trust by Default” מוגדרת כברירת מחדל, אך רוב המשתמשים, בין אם כאלו שאינם מודעים כלל לבעייה ובין אם כאלו שפשוט מחליטים שהיא לא שווה התייחסות, לא באמת טורחים לברר אילו אופציות קיימות, שלא נדבר על היכן ומה בדיוק צריך להגדיר.

סרטון וידאו המדגים את פעולת TXTSBBSpy

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

3 תגובות על "האם גם הבלאקברי סובל מבעיות אבטחה?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
לא מרוצה מהכתבה
Guest

על התוכנה להיות מותקנת במכשיר לפני שניתן יהיה לבצע כל פעולה זדונית…!! זה כמו שיש חורי אבטחה בווינדוס ללא AntiViurs, או שיש חורי אבטחה ב Facebook שמאפשרים גישה לחשבונות כי הם לא הגנו על עצמם מפישינג … זה פשוט לא נכון לקרוא לזה חור אבטחה

david
Guest

חברת פרטנר היא החברה מייצגת רק גנבים , חבל שימצא לעצמה שם פרטנר כי היא חברה רעבה מאוד .
דורשת מלקוחותיה כל הזמן רק כסף.
למרות שהיא מגיעה למה שהיא דורשת מכל לקוח לקוחה.
למרות שהיא יודעת טוב לעבוד על כל הלקוחות היא לא נותנת ללקוחות שיהנו מי השירת שלהם.
למרות שכל לקוח\ה יודע פרטנר רעבה אוהבת כסף וזה משהי כל הזמן מעניין אותה
אז כך בשמי ובשם של החברים והחברות שלי לקוחות של אורנג.
אימצנו שם באמת יכול להתאים לכם ועל זה אנחנו עובדים
הזדמנות קטנה מאוד
תהיו מופתעים שזה כבר מפורסם בכל אתרי האינטרנט
וזה שקר שי (פרטנר\ אורנג ) נותנת שירות היא רק מקבילית כל הזמן

wpDiscuz

תגיות לכתבה: