PlaceRaider : האפליקציה שתרגל אחריכם באמצעות המצלמה

זדונית ומרושעת, האפליקציה שפותחה בעזרת צבא ארה”ב הופכת את מצלמת האנדרואיד לכלי ריגול ומשחית ראשון במעלה. זאת, באמצעות יצירת מודלים תלת מימדיים

מתוך המחקר

לתוכנות זדוניות שמשתלטות לנו על הרשת החברתית כבר התרגלנו, ואנחנו כבר ממש לא מתרגשים כשאנחנו מקבלים מייל נרגש מניגריה שמספר לנו שזכינו בהון בלתי יתואר. אנחנו אפילו כבר אדישים יחסית לעוד ועוד דיווחים על גניבת זהות וכסף ברשת. אבל על “גניבה” של המרחב הפיזי שלנו? זה כבר חדש.

למעשה, המזל היחיד הוא שהנזק החדש בו נדון כעת, תוכנה בשם PlaceRaider, אינו חשיפה של חברת אבטחת מידע כזו או אחרת, אלא תוצאה של מחקר אקדמי.

קליק, קליק, נתפסת

החוקרים, שילוב של צוותים מאוניברסיטת אינדיאנה ומצבא ארצות הברית, הצליחו לפתח תוכנה זדונית במיוחד שרצה על מערכת ההפעלה אנדרואיד 2.3 (ג’ינג’רברד) ומשתלטת לו על המצלמה. המשמעות היא כי התוכנה מייצרת תמונות של סביבת הקורבן, אותן היא מצלמת אחת לשתי שנית. מכיוון שמדובר ברצף עצום של תמונות, ניתן לעשות בהן שימוש על מנת ליצור דגם תלת-מימדי של סביבת הקורבן.

אין ספק שקוראינו בעלי המוח הישראלי כבר חושבים על מגוון האפשרויות שתוכנה מעין זו יכולה לספק לחיילי צה”ל למשל, או לסוכני המוסד והשב”כ. זה נכון, ולא בכדי היא פותחה בין היתר על-ידי חוקר צבאי.

אבל אסור לשכוח גם את האפשרויות האחרות הטמונות בה, אם תגיע לידיים הלא נכונות: למשל שודדים שיכולים באופן זה להשתלט על סניפי בנק, או חלילה מחבלים שיכולים להשתלט על כל בסיס צבאי. מעבר לזאת, לא רק בביטחון ובכסף עסקינן. רק דמיינו לעצמכם מה יקרה אם פדופיל חובב גאדג’טים יצליח להחדיר את התוכנה לסמארטפון של ילדיכם, שבדיוק סיים לשחק כדורגל והלך בתמימות להחליף בגדים בחדר.

לא מדובר בפעם הראשונה בה נעשה שימוש בסמארטפון למטרות זדוניות. כך למשל Soundminer יכולה לעקוב אחר שיחות טלפון ולשדוד מספרי אשראי, הן כאלה שנאמרו בשיחה והן כאלה שהוקלדו. תוכנה אחרת, spiPhone, עושה שימוש במד התנועה של המכשיר כדי לאתר את הרצפים אותם מקלידים המשתמשים. אבל זו פשוט סיטואציה מעניינת בה תוכנה זדונית עושה שימוש במצלמה.

לדברי המפתחים, “באמצעות שימוש אופורטוניסטי לגמרי של מצלמת הסמארטפון, וחיישנים אחרים, PlaceRaider יוצרת מודל עשיר ותלת-מימדי של הסביבה הפיזית. שודדים יכולים להוריד בצורה כזו דגם של המרחב הפיזי, לשנן אותו היטב, ואף לגנוב אובייקטים וירטואליים דוגמת מידע שמופיע על מסך המחשב”.

יש לכם מסקינגטייפ?

החוקרים אף בדקו את דבריהם, כאשר העניקו לכמה נבדקים טלפונים “נגועים”. מיותר לציין שהנבדקים לא ידעו מה נבדק או שהטלפון שלהם למעשה מרגל אחריהם. בזמן קצר, לא רק שהחוקרים יכלו לייצר דגמים מדוייקים של סביבת המשתמשים, הם יכלו גם לגנוב כך מספרי אשראי, יומני פגישות, מסמכים ועוד. למעשה, הם יכלו “לגנוב” כל דבר אותו המצלמה יכלה לצלם.

יש להבהיר כי הסכנה הגדולה ביותר התמונה בתוכנה זדונית מעין זו היא כי היא רצה ברקע וללא ממשק משתמש כלשהו מצד הקורבן (כמובן שלתוקף ישנו ממשק העוקב אחר התמונות שהתקבלו). לכן, ניתן יהיה להחדיר אותה בקלות לקבצי ההתקנה של תוכנות לגיטימיות לגמרי, ובכך לתקוף את כולנו. עוד יש לציין כי החוקרים אומנם עשו שימוש באנדרואיד, אך הם לגמרי לא פוסלים על הסף את האפשרות לפיתוח תוכנות זהות לפלטפורמות אחרות, כגון iOS או חלונות.

החכמים שביניכם בוודאי יקפצו כעת ויגידו “מה הבעיה, נבדוק את ההרשאות של מה שאנחנו מתקינים”. הם צודקים, אבל יש בעיה. וזאת, מכיוון שכל אפליקציית מצלמה, החל מהאיזוטרית ביותר וכלה באינסטגרם, דורשת בדיוק את אותן ההרשאות שדורש הסוס הטרויאני החדש.

כרגע, כאמור, מדובר בתוכנה שפותחה לצרכי מחקר ולא באפליקציה שתוכלו להוריד בגוגל פליי, אבל אם הטכנולוגיה ישנה – לא רחוק היום ובו תוכנות כאלו יהיו זמינות בשוק לכל שודד ופושע המעוניין בהן. הפתרון? כרגע רק מסקינגטייפ שיכסה את המצלמה כשהיא לא בשימוש.

נועה זהבי רז

נועה רז, בת 30. חיה באינטרנט מאז 1999, חובבת ג’אדג’טים אך לא יודעת מה עושים איתם, וכותבת, בעיקר על כלום.

הגב

Be the First to Comment!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
wpDiscuz

תגיות לכתבה: