חוקרי אבטחה מארצות-הברית מצאו פריצת אבטחה באופן שבה מנוהל הזיכרון המשותף במערכת ההפעלה אנדרואיד. על-פי הערכות, כ-92% מיישומי אנדרואיד חשופים לפריצה בניהם ניתן למצוא יישומים כמו Hotels.com, Amazon, WebMD ואפילו יישום הג'ימייל של גוגל.

חוקרי אבטחה מאוניברסיטת קליפורניה מצאו חולשה באופן בו מנוהל הזיכרון המשותף (Shared Memory) במערכת ההפעלה אנדרואיד. עד כה היה סבור כי יישומים לא יכולים לגשת לזיכרון המשותף אחד של השני, אך החוקרים מצאו באמצעות ניתוח הזיכרון כי ניתן לעקוב אחר פעולות המשתמש ולגנוב מידע כמו מספר כרטיס אשראי, שמות משתמש וסיסמאות, תצלומים וכו'.

גניבת מספר כרטיס אשראי, עם הרשאות מועטות

בסדרת סרטונים שפורסמה ביו-טיוב (YouTube) ניתן לראות את ההתקפה בפועל, כפי שהודגמה על היישום של קמעונאית NewEgg, המאפשר לבצע קניות ממכשיר הטלפון החכם. בסרטון נראה מכשיר המודבק רוגלה (Malware) שיכולה להתחזות ליישום תמים למראה לו יש הרשאות רק לגישה לרשת ותקשורת נתונים, זאת על-מנת לשדר החוצה את הנתונים הגנובים. בסרטון נראה כיצד כל מידע שמזין המשתמש כמו כתובת או מספר כרטיס אשראי משודר אל המכשיר של התוקף.

החוקרים מציגים גם גרסה נוספת של הרוגלה לה יש גם גישה למצלמה, דבר המאפשר לה לגנוב תצלומים שמבצע המשתמש. כיום מדובר באפשרות שהיא מכרה זהב שכן ישנם מספר יישומים בנקאים כמו Chase בסרטון ההדגמה או היישום של בנק-לאומי המאפשר לבצע הפקדת שיקים באמצעות צילום שלהם.

כ-92 אחוז מהיישומים כיום חשופים לפריצה

על-פי החוקרים, מתוך שבעה היישומים שנדגמו רק היישום של אמזון (Amazon) היה המאובטח ביותר, לו שיעור ההצלחה של התקיפה עמד על 48 אחוז. דוברת של גוגל ציינה בפני האתר של ה-BBC כי החברה מברכת על המחקר וכי "באמצעות מחקרי צד-שלישי שכאלו אנדרואיד הופכת בטוחה וחזקה יותר". את המסקנות המלאות של צוות חוקרי האבטחה ניתן לקרוא בדו"ח שפורסם.

 

שתף:
-פרסומת-
מנהל רשתות במקצועו והוא בעליו הגאים של ערוץ היו-טיוב The G3 Show. הוא גיימר, גיק וכל מה שבניהם. דעתן וחובב חפיצים מושבע. שי מחליף טלפונים כמו גרביים וכל כמה חודשים ניתן למצוא אצלו חפיץ חדש ביד. הדבר היחיד שהוא אוהב יותר מחפיצים הוא להשתמש במושגים עבריים (ידעתם שחפיצים הם גאדג'טים?). בזמנו החופשי המועט משמש שי כמקור מידע טכנולוגי ״של החבר׳ה״.
  • אור

    הם בדקו 7 יישומים ? זהו?
    מה עם הדפדפנים ?, דרכם מבצעים את רוב הדברים בטלפון.

  • א.א.

    א, זה תלוי איך יבחרו לפתור את הבעיה. אם העדכון יוכל בgoogle play services, כל אחד עם גישה לחנות של גוגל יקבל אותו.

    יום טוב.

  • א

    והכי גרוע, לא כולם זכאים לעדכון שיפתור את הבעיה!

  • אבי

    ל-shady
    אייפון בטוח ולא ניתן לפריצה???
    יש לך חוסר ידע בסיסי!
    קרא באינטרנט, כל שבוע נמצאת פירצת אבטחה לאייפון.
    חיפוש קצר היה מונע את השטות שרשמת.

  • א.א.

    אם זה עוזר, אני סטודנט שנה ג' להנדסת תוכנה בטכניון, עובד בחברה גדולה, משתמש בווינדוס בבית, בעבודה, בלפטופ שקיבלתי מהעבודה, בכל מקום שאינו תחנת עבודה על אפ' אנדרואיד/ ג'אווה או שרת. כשצריך, יש לי 2 הפצות לינוקס מותקנות על המחשבים ואמא שלי משתמשת בMINT על מחשב ישן ומסתדרת מעולה, אך אני מציע לא להיסחף יותר מדיי עם ההצהרות הללו…

    לגבי הפירצה, מחיר החופש, אני מניח.. אצטרך לקרוא את הדו"ח כדי להבין את היקף הבעיה אך נקווה שייצא patch במהירות.
    אני ממליץ בחום לכל משתמש אנדרואיד שלא החליף רום להתקין XPOSED FRAMEWORK ומודול המאפשר שליטה על הרשאות אפליקציות וקביעת ברירת מחדל לחסימת הרשאות.

    • לירון

      איך נקרא המודול? אפשר לינק להורדה?

  • שונא ווינדוס שונא אנדרואיד שונא אפל אבל אין ברירה זה הכי בטוח

    בקיצור כמו ווינדוס למחשב…

    יש מישהו שמבין משהו בתכנות ובמחשב ומשתמש בווינדוס? אם כן אז הוא צריך ללכת ללמוד משהו אחר כי הוא לא מבין כלום

  • shady

    קנו אייפונים! מערכת הכי טובה מוגנת ובלתי ניתנת לפריצה לגמרי.הכי מהירה ובעלת הכי הרבה אפשרויות.

  • משתמש אנונימי (לא מזוהה)

    כאילו שלא ידענו שמשתמשי אנדרואיד חשופים הרבה הרבה יותר מהשאר