לפרוץ למכשיר אנדרואיד מרוחק ב-1400 דולר

מסתבר שלפרוץ למכשיר האנדרואיד שלכם עולה בסך הכל 1400 דולר. האם זה כדאי ומי יהיה מוכן לשלם את המחיר?

מקור: יח"צ

המנוע שמפעיל את הדפדפנים כרום וספארי, מנוע בשם Webkit, עבר כברת דרך. הדפדפנים המבוססים עליו הפכו במהלך השנים האחרונות לחלק מהדפדפנים הפופולריים ביותר בשוק, וחלקם היחסי הולך וגדל עם הפופולאריות של כרום לצד הצלחתה המסחרית של אפל למכור יותר אייפדים ואייפונים מתוצרתה, הכוללים את ספארי כדפדפן ברירת המחדל.

המנוע שמריץ את כרום

מבין הדפדפנים הזמינים היום ברשת, דווקא צמד הדפדפנים הזה, ספארי וכרום, נחשבים לדפדפנים שפחות נחשפו לתקיפות מצד פורצים, או לפחות אין ידיעות רבות על הצלחת פריצות שכאלה (או zero-day exploits) לגרום לנזקים או לפגיעה במשתמשים. מצב זה השתנה הבוקר עבור משתמשי הכרום והספארי.

בימים אלה נערך בסן-פרנסיסקו כנס RSA השנתי ובמסגרתו הדגים גורג’ קורץ, לשעבר סמנכ”ל טכנולוגיות של ענקית אבטחת המידע מק’אפי, כיצד ניתן לתקוף מכשירים סלולריים אנדרואידיים. קורץ, שהיום הוא אחד ממובילי חברת הסטארטאפ CrowdStrike, הדגים כיצד הוא יכול לתקוף בהצלחה מכשירים המבוססים על פרויו (Froyo), גרסת אנדרואיד 2.2 באמצעות הרצת מנוע Webkit על-גבי Dalvik, מכונה וירטואלית של גוגל המדמה הרצה של ג’אווה על-גבי המכשיר. אמנם, יש לציין, כי פרויו אינה הגרסה העדכנית ביותר של אנדרואיד, אך היא עדיין בין הנפוצות וחלקה בנתח השוק צפוי להמשיך להיות גדול גם במהלך 2012 ולתוך 2013.

ההדגמה, כפי שנחשפה ב-RSA, מורכבת ממספר רכיבים, שיחדיו מאפשרים התגברות על מנגנוני ההגנה הקיימים, ומאפשרים בסופו של דבר לתוקף לקבל גישה אל מידע רגיש מהסמארטפון שלכם, כגון נתוני מיקום מה-GPS, מעקב אחרי מסרונים, שיחות שלא נענו, שיחות שהופנו לתא הקולי והאזנה ל-15 השניות האחרונות של השיחה האחרונה שנוהלה מהמכשיר.

התגברות על ההגנות

אמנם, כדי להצליח לבצע פריצה שכזאת היה קורץ צריך להתגבר על שלבים רבים, שאולי היו מונעים מפורצים פחות מתוחכמים מלהתקדם עם התקיפה, אבל, עבור תוקפים מתוחכמים עם מטרת יעד איכותית מספיק, הדבר נראה אפשרי. בנוסף, יש לזכור כי התקיפה התבססה על מספר חולשות שהצוות של קורץ “רכש” לצורך הפריצה, בעלות של 1400 דולרים. עלות נמוכה זו מסמלת את רף הכניסה הכלכלי הנמוך הנדרש היום למי שרוצה לגלות חולשות הרלוונטיות היום, כדי לתקוף תוך זמן קצר יעד.

אם בעבר חולשות אלו היו נשמרות כסודות שמורים של כל פורץ כלפי עצמו, הרי שהיום ניתן למצוא זירות מסחר רבות בשווקים השחורים של העולם הקיברנטי, בהם פורצים מוכרים פרצות שגילו בתמורה לכסף מזומן. היות והמסחר בזירות אלו הולך ומתגבר, גדל משמעותית הלחץ על חברות הטכנולוגיה השונות לבדוק כל הזמן את התוכנות שלהן ולוודא שהן אטומות, ובכל פעם שמתגלה פירצה, לסגור אותה כמה שיותר מהר.

וידאו: כנס RSA 2012

Avatar

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

1 תגובה על "לפרוץ למכשיר אנדרואיד מרוחק ב-1400 דולר"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יוסי
Guest

צריך לתקן שגיאה – המכונה הוירטואלית נקראת Dalvik

wpDiscuz

תגיות לכתבה: