חוקרי אבטחה מארצות-הברית מצאו פריצת אבטחה באופן שבה מנוהל הזיכרון המשותף במערכת ההפעלה אנדרואיד. על-פי הערכות, כ-92% מיישומי אנדרואיד חשופים לפריצה בניהם ניתן למצוא יישומים כמו Hotels.com, Amazon, WebMD ואפילו יישום הג'ימייל של גוגל.

חוקרי אבטחה מאוניברסיטת קליפורניה מצאו חולשה באופן בו מנוהל הזיכרון המשותף (Shared Memory) במערכת ההפעלה אנדרואיד. עד כה היה סבור כי יישומים לא יכולים לגשת לזיכרון המשותף אחד של השני, אך החוקרים מצאו באמצעות ניתוח הזיכרון כי ניתן לעקוב אחר פעולות המשתמש ולגנוב מידע כמו מספר כרטיס אשראי, שמות משתמש וסיסמאות, תצלומים וכו'.

גניבת מספר כרטיס אשראי, עם הרשאות מועטות

בסדרת סרטונים שפורסמה ביו-טיוב (YouTube) ניתן לראות את ההתקפה בפועל, כפי שהודגמה על היישום של קמעונאית NewEgg, המאפשר לבצע קניות ממכשיר הטלפון החכם. בסרטון נראה מכשיר המודבק רוגלה (Malware) שיכולה להתחזות ליישום תמים למראה לו יש הרשאות רק לגישה לרשת ותקשורת נתונים, זאת על-מנת לשדר החוצה את הנתונים הגנובים. בסרטון נראה כיצד כל מידע שמזין המשתמש כמו כתובת או מספר כרטיס אשראי משודר אל המכשיר של התוקף.

החוקרים מציגים גם גרסה נוספת של הרוגלה לה יש גם גישה למצלמה, דבר המאפשר לה לגנוב תצלומים שמבצע המשתמש. כיום מדובר באפשרות שהיא מכרה זהב שכן ישנם מספר יישומים בנקאים כמו Chase בסרטון ההדגמה או היישום של בנק-לאומי המאפשר לבצע הפקדת שיקים באמצעות צילום שלהם.

כ-92 אחוז מהיישומים כיום חשופים לפריצה

על-פי החוקרים, מתוך שבעה היישומים שנדגמו רק היישום של אמזון (Amazon) היה המאובטח ביותר, לו שיעור ההצלחה של התקיפה עמד על 48 אחוז. דוברת של גוגל ציינה בפני האתר של ה-BBC כי החברה מברכת על המחקר וכי "באמצעות מחקרי צד-שלישי שכאלו אנדרואיד הופכת בטוחה וחזקה יותר". את המסקנות המלאות של צוות חוקרי האבטחה ניתן לקרוא בדו"ח שפורסם.

 

שתף:
-פרסומת-
מנהל רשתות במקצועו והוא בעליו הגאים של ערוץ היו-טיוב The G3 Show. הוא גיימר, גיק וכל מה שבניהם. דעתן וחובב חפיצים מושבע. שי מחליף טלפונים כמו גרביים וכל כמה חודשים ניתן למצוא אצלו חפיץ חדש ביד. הדבר היחיד שהוא אוהב יותר מחפיצים הוא להשתמש במושגים עבריים (ידעתם שחפיצים הם גאדג'טים?). בזמנו החופשי המועט משמש שי כמקור מידע טכנולוגי ״של החבר׳ה״.