פיתוח חדש מאפשר לאסוף סיסמאות של מכשירי מובייל באמצעות מזל׳׳ט

תוכנה חדשה מאפשרת גניבת מידע רגיש באמצעות הטסת מזל”ט מעל מכשיר הסמארטפון או הטאבלט של המשתמשים. בקרוב ברחוב הקרוב אליכם?

מקור: Shutterstock

מקור: Shutterstock

העובדה שמכשירי הסמארטפון הפכו לאחד מהקורבנות הפופולאריים להתקפות וגניבת מידע היא לא חדשה, אך כעת מסתמן כי המידע הפרטי ביותר של המשתמשים יהפוך לחשוף באמצעות טכנולוגיה אחרת שצוברת פופולאריות: מטוסים זעירים ללא טייס, הידועים יותר בשם Drones.

זה מטוס? זה ציפור? לא, זה מרגל

החוקרים גלן ווילקנסון (Glenn Wilkinson) ודניאל קות’ברט (Daniel Cuthbert) ממעבדת המחקר Sensepost בלונדון פיתחו תוכנה, אותה כינו ״סנופי״ (Snoopy), המסוגלת לגנוב מידע ממכשירי הסמארטפון של המשתמשים באמצעות שימוש בחיבור ה-WiFi של מכשיריהם.

בפועל, בכל פעם שהמשתמש מתחבר לרשת WiFi, הסמארטפון או הטאבלט זוכרים את הרשת על מנת שיוכלו להתחבר אליה אוטומטית בעתיד, כשיזהו אותה שוב. המכשיר עושה זאת באמצעות שליחת פינג לכל רשת על מנת לבדוק האם היא בסביבה והאם היא זמינה לחיבור.

סנופי מנצל את אפשרות זאת באמצעות זיהוי הרשת אליה התחבר המכשיר בעבר “והתחזות” אליה. המכשיר מתחבר אל סנופי במחשבה שמדובר ברשת ה-WiFi הלגיטימית, ובשלב זה יכולה התוכנה לאסוף את כל המידע הנשלח מהמכשיר, החל מפרטי הכניסה לחשבון הפייסבוק של המשתמש, דרך שמות משתמש וסיסמאות ועד ה-ID הייחודי של המכשיר, קוארדינטות ה-GPS שלו ועוד.

מאחורי הקלעים, התוכנה מסוגלת לאסוף מידע על מנת לבנות פרופילים על המשתמשים, ולזהות את אלה בעלי הפוטנציאל הגבוה למידע רגיש. כך לדוגמה, במידה והמשתמשים נוטים להתחבר לרשתות פרטיות כגון NSA-Office או TzahalNet, המידע שיועבר באמצעות הרשת יכול להיות מעניין במיוחד, לעומת משתמש הנוטה להתחבר לרשתות של בתי קפה או מקומות בילוי שונים.

החוקרים מסבירים כי סנופי יכולה לרוץ על מחשבים קטנים, כגון Raspberry Pi, סמארטפונים כגון Nokia N900 וכמובן מחשבים ניידים. היא עוצבה במטרה לאסוף מידע מהמכשירים שנושאים עמם המשתמשים, הכוללים לא רק סמארטפונים וטאבלטים, אלא גם Google Glass ואפילו כרטיסי NFC או תגיות RDIF – ולהעביר את כל המידע לשרתי החברה, שם יכולים לבדוק ולהשתמש בו.

איך זה עובד? לחצו להגדלה. מקור: Sensepost

איך זה עובד? לחצו להגדלה. מקור: Sensepost

לטוב ולרע

בבלוג הרשמי של מעבדת המחקר הסבירו החוקרים שסנופי יכולה לשמש לטוב, לרע ולמעורפל. בפן החוקי, יכולה התוכנה לאסוף סטטיסטיקות אנונימיות על המשתמשים לייעול אלמנטים שונים. כך לדוגמה, תוכל לדעת מהן שעות השיא של הנוסעים בתחבורה הציבורית, על מנת ליידע את הרשויות ולשנע לבסוף יותר אוטובוסים או רכבות בשעות הללו.

בפן המעורפל, או הגבולי כפי שקוראים לו החוקרים, הטכנולוגיה יכולה לעזור למותגים להבין האם פרסום או קידום עוזרים להניע את המשתמשים מעסק אחד לאחר, או לחילופין לאפשר לרשויות לעקוב אחר פושעים ואף לזהות אותם – אך מכיוון שסביר להניח שתעקוב אחר כלל המשתמשים בתהליך זה, היא מחשיבה אפשרות זאת כגבולית.

בפן הלא חוקי התוכנה תאפשר מעקב אחר משתמשים ספציפיים בעלי “פרופיל גבוה”, הדבקת מכשירים בתוכנות זדוניות ואף הצגת פרסומות בכוח בכל פעם שהמשתמשים פותחים את הדפדפן שלהם. החוקרים אף הבהירו שלקבוצה של מכשירים המריצים את סנופי הפזורים ברחבי העיר תהיה את האפשרות לקבל מידע משמעותי על תנועת המשתמשים, עד לרמה של תמונת הרחוב בו הוא גר, משחק או עובד.

במסגרת ראיון ל-CNNMoney הציגו החוקרים את יכולות המוצר, באמצעות הטסת מטוס זעיר בעל מחשב המריץ את התוכנה המדוברת. במהלך הטיסה הצליחו לאסוף שמות רשתות ומיקומי GPS של כ-150 מכשירים שונים שהתהלכו מתחת למטוס המדובר.

חשוב להבהיר כי נכון לעכשיו לא מדובר באיום ממשי, שכן שני החוקרים מגדירים את עצמם כהאקרים “טובים”. למעשה, הם מתכננים להציג את יכולות סנופי במסגרת כנס Black Hat Asia שיתקיים בין ה-25 ל-28 במרץ, במטרה לאפשר ליצרניות ולמפתחים להבין את חומרת הבעיה ולהציע פתרונות והגנה למשתמשים. בינתיים, הדרך הטובה ביותר להתגונן מפני התקפה שכזאת היא פשוטה למדיי – כיבוי ה-WiFi.

וידאו: This drone can steal what’s on your phone

מקור תמונה ראשית: Shutterstock / Flying uav quadcopter drone

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

3 תגובות על "פיתוח חדש מאפשר לאסוף סיסמאות של מכשירי מובייל באמצעות מזל׳׳ט"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Oפי
Guest

בדיוק בשביל להגן מפני זה קיימת האפליקציה הבאה (לבעלי root)
https://play.google.com/store/apps/details?id=eu.chainfire.pryfi

יוסי ב
Guest

“בינתיים, הדרך הטובה ביותר להתגונן מפני התקפה שכזאת היא פשוטה למדיי – כיבוי ה-WiFi.”

זה לא כל כך נכון. זה מגן מפני גניבה אקראית. אבל שום דבר לא מונע את השימוש בכלי כזה בכל מקום אחר – ברכבת, בבית קפה או בכל מקום בו אתם רגילים לגלוש דרך הרשת האלחוטית.

סודי
Guest

אם אני יראה דבר כזה מעלי
אני יזרוק עליו אבן

wpDiscuz

תגיות לכתבה: