פרצת אבטחה חדשה באנדרואיד מאיימת על 900 מיליון משתמשים

בחברת האבטחה Bluebox Security טוענים כי מצאו את ”מפתח המאסטר” לאנדרואיד המאפשר התקנת אפליקציות נגועות ועוקף את מנגנון ההגנה של מערכת ההפעלה

shutterstock_96124010

פרצות אבטחה באנדרואיד הפכו למעין “דבר שבשגרה”, הפתיחות של מערכת ההפעלה ועדכוני האבטחה שלא מגיעים בזמן למגוון המכשירים ממגוון היצרניות פותחים את הדלת בפני האקרים ונוזקות כאלו ואחרות נוצרות בקצב מהיר. אלא שהפעם נראה שהפעם חוקרי האבטחה מצאו פירצה חמורה בהרבה.

להשתלט על האנדרואיד – מבלי שאף אחד ידע

חברת האבטחה Bluebox Security הודיעה כי חוקרי האבטחה שלה חשפו את “מפתח המאסטר” של אנדרואיד, אשר עלול לאפשר להאקרים להפוך כל אפליקציית אנדרואיד לנוזקה מבלי להסב את תשומת ליבה של מערכת ההפעלה או מפתח האפליקציה. הנוזקה עצמה מאפשרת להאקרים לפקח מרחוק ולאסוף נתונים אודות המכשיר, כגון שיחות טלפון והודעות.

בהודעה רשמית שפירסמה בבלוג שלה, סמנכ”ל הטכנולוגיות של החברה, ג’ף פוריסטל חושף כי Bluebox Security מצאה שיטה דרכה ההאקרים יכולים לשנות את קוד ה-APK של כל אפליקציה, מבלי לשבור את חתימת ההצפנה המאמתת אותה. המשמעות המרכזית של פירצת האבטחה הזו היא, שהאקרים יכולים לפרסם אפליקציות נגועות בתור קבצי APK הנראות לגיטימיות לגמרי בצד החיצוני של האפליקציה וגם מול מנגנון האימות של אנדרואיד.

shutterstock_135723230

משתמשי גלקסי S4 בטוחים – אך מה עם כל השאר?

פירצת האבטחה נכונה ככל הנראה לכל המכשירים המריצים את מערכת ההפעלה של גוגל מגירסא 1.6 ומעלה, כך שמדובר למעשה ב-99 אחוז מהמשתמשים במערכת ההפעלה. אפליקציות הנמצאות בחנות ה-Play חסינות מחור האבטחה הזה, מכיוון שגוגל מודעת לבעיה ומפעילה בדיקות משלה על כל אפליקציה שעולה לחנות.

Bluebox Security דיווחה על חור האבטחה לגוגל בחודש פברואר וענקית החיפוש הספיקה לתקן אותו במכשיר הגלקסי S4, אך לעומת זאת, משתמשים שלא בעלי מכשיר גלקסי S4 ורגילים להוריד אפליקציות צד שלישי ממקורות שאינם Google Play, עשויים להיות חשופים לחור האבטחה על ידי, לדוגמא, קבלת לינקים לאפליקציות הנמצאות בגירסאות בטא דרך הודעות דואר אלקטרוני.

ההמלצה הכי טובה שאפשר לתת למשתמשים החוששים מחור האבטחה היא לא להתקין אפליקציות שאינן מחנות ה-Play, ואם אתם רגילים להתקין אפליקציות צד שלישי דרך קבצי APK – עשו זאת בזהירות ורק דרך האתרים הרשמיים של החברות. אל תתפתו לפתוח הודעות דואר אלקטרוני המכילות קבצים כאלו או להתקין אפליקציות דרך אתרי Hacking לאפליקציות למיניהן.

קרדיט תמונות: Shutterstock, Shutterstock

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

1 תגובה על "פרצת אבטחה חדשה באנדרואיד מאיימת על 900 מיליון משתמשים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אסף
Guest

מי שמתקין אפליקציות אנדרואיד שלא מהמרקט הרשמי הוא מתאבד שיעי.
החנויות הלא רשמיות מלאות בג’אנק, וירוסים ורוגלות. חוכמה גדולה למצוא שם פרצה. כל המערכת זו פרצה אחת גדולה.

wpDiscuz

תגיות לכתבה: