חוקרי אבטחה מארצות-הברית מצאו פריצת אבטחה באופן שבה מנוהל הזיכרון המשותף במערכת ההפעלה אנדרואיד. על-פי הערכות, כ-92% מיישומי אנדרואיד חשופים לפריצה בניהם ניתן למצוא יישומים כמו Hotels.com, Amazon, WebMD ואפילו יישום הג’ימייל של גוגל.
חוקרי אבטחה מאוניברסיטת קליפורניה מצאו חולשה באופן בו מנוהל הזיכרון המשותף (Shared Memory) במערכת ההפעלה אנדרואיד. עד כה היה סבור כי יישומים לא יכולים לגשת לזיכרון המשותף אחד של השני, אך החוקרים מצאו באמצעות ניתוח הזיכרון כי ניתן לעקוב אחר פעולות המשתמש ולגנוב מידע כמו מספר כרטיס אשראי, שמות משתמש וסיסמאות, תצלומים וכו’.
גניבת מספר כרטיס אשראי, עם הרשאות מועטות
בסדרת סרטונים שפורסמה ביו-טיוב (YouTube) ניתן לראות את ההתקפה בפועל, כפי שהודגמה על היישום של קמעונאית NewEgg, המאפשר לבצע קניות ממכשיר הטלפון החכם. בסרטון נראה מכשיר המודבק רוגלה (Malware) שיכולה להתחזות ליישום תמים למראה לו יש הרשאות רק לגישה לרשת ותקשורת נתונים, זאת על-מנת לשדר החוצה את הנתונים הגנובים. בסרטון נראה כיצד כל מידע שמזין המשתמש כמו כתובת או מספר כרטיס אשראי משודר אל המכשיר של התוקף.
החוקרים מציגים גם גרסה נוספת של הרוגלה לה יש גם גישה למצלמה, דבר המאפשר לה לגנוב תצלומים שמבצע המשתמש. כיום מדובר באפשרות שהיא מכרה זהב שכן ישנם מספר יישומים בנקאים כמו Chase בסרטון ההדגמה או היישום של בנק-לאומי המאפשר לבצע הפקדת שיקים באמצעות צילום שלהם.
כ-92 אחוז מהיישומים כיום חשופים לפריצה
על-פי החוקרים, מתוך שבעה היישומים שנדגמו רק היישום של אמזון (Amazon) היה המאובטח ביותר, לו שיעור ההצלחה של התקיפה עמד על 48 אחוז. דוברת של גוגל ציינה בפני האתר של ה-BBC כי החברה מברכת על המחקר וכי “באמצעות מחקרי צד-שלישי שכאלו אנדרואיד הופכת בטוחה וחזקה יותר”. את המסקנות המלאות של צוות חוקרי האבטחה ניתן לקרוא בדו”ח שפורסם.
הם בדקו 7 יישומים ? זהו?
מה עם הדפדפנים ?, דרכם מבצעים את רוב הדברים בטלפון.
א, זה תלוי איך יבחרו לפתור את הבעיה. אם העדכון יוכל בgoogle play services, כל אחד עם גישה לחנות של גוגל יקבל אותו.
יום טוב.
והכי גרוע, לא כולם זכאים לעדכון שיפתור את הבעיה!
ל-shady
אייפון בטוח ולא ניתן לפריצה???
יש לך חוסר ידע בסיסי!
קרא באינטרנט, כל שבוע נמצאת פירצת אבטחה לאייפון.
חיפוש קצר היה מונע את השטות שרשמת.
אם זה עוזר, אני סטודנט שנה ג’ להנדסת תוכנה בטכניון, עובד בחברה גדולה, משתמש בווינדוס בבית, בעבודה, בלפטופ שקיבלתי מהעבודה, בכל מקום שאינו תחנת עבודה על אפ’ אנדרואיד/ ג’אווה או שרת. כשצריך, יש לי 2 הפצות לינוקס מותקנות על המחשבים ואמא שלי משתמשת בMINT על מחשב ישן ומסתדרת מעולה, אך אני מציע לא להיסחף יותר מדיי עם ההצהרות הללו…
לגבי הפירצה, מחיר החופש, אני מניח.. אצטרך לקרוא את הדו”ח כדי להבין את היקף הבעיה אך נקווה שייצא patch במהירות.
אני ממליץ בחום לכל משתמש אנדרואיד שלא החליף רום להתקין XPOSED FRAMEWORK ומודול המאפשר שליטה על הרשאות אפליקציות וקביעת ברירת מחדל לחסימת הרשאות.
איך נקרא המודול? אפשר לינק להורדה?
בקיצור כמו ווינדוס למחשב…
יש מישהו שמבין משהו בתכנות ובמחשב ומשתמש בווינדוס? אם כן אז הוא צריך ללכת ללמוד משהו אחר כי הוא לא מבין כלום
קנו אייפונים! מערכת הכי טובה מוגנת ובלתי ניתנת לפריצה לגמרי.הכי מהירה ובעלת הכי הרבה אפשרויות.
כאילו שלא ידענו שמשתמשי אנדרואיד חשופים הרבה הרבה יותר מהשאר