טלפונים סלולריים של סמסונג (Samsung) מכילים פרצה שמאפשרת להאקרים להשתלט עליהם באמצעות שליחת תמונות וללא כל צורך שהמשתמש יפתח אותן, כך חשף אתמול מתאוש יורצ’יק, חוקר אבטחה ב-Project Zero של גוגל (Google), בסרטון שפרסם ביוטיוב (YouTube).
בהדגמה מראה החוקר כיצד תמונות שנשלחות ב-MMS לטלפון של היצרנית הקוריאנית מאפשרות לו לפרוץ למכשיר ולהריץ עליו קוד מרחוק. זאת מאחר וספריית הקוד לעיבוד תמונות Skia, הנמצאת בגרסת האנדרואיד של גוגל, מריצה קבצי תמונה עוד לפני שהמשתמש מבצע פעולה כלשהיא כדי לפתוח אותם.
לדבריו, אמנם הפרצה דורשת בממוצע שליחה של כמה עשרות עד מאות הודעות עד לרגע בו מקבל הפורץ גישה למכשיר, מה שעשוי לקחת כשעה וחצי – אך מכיוון שגילה גם כיצד לשלוח הודעות למכשירי סמסונג מבלי להפעיל התרעות, הפרצה ניתנת לביצוע מבלי שהמשתמש ישים לב שקיבל הודעות חשודות כלשהן.
החוקר ביצע את הפריצה באמצעות תמונות מסוג Qmage של החברה הקוריאנית Quramsoft, שסמסונג הוסיפה תמיכה בהן למכשיריה החל מהדגמים שהוציאה במחצית השנייה של 2014. כדי לסבר את האוזן, מדובר בכל הדגמים מאז Galaxy Note 4 ו-Galaxy S6.
וידאו: כך נראית הפרצה
יורצ’יק גילה את הפרצה כבר ב-28 בינואר, ופרסם אותה בפורום חוקרי האבטחה של גוגל. חודש לאחר מכן הודיעה גוגל לסמסונג על הפרצה, ועתה, מעט יותר מחודשיים לאחר שנודע לה על הפרצה, החלה סמסונג לשחרר עדכון אבטחה למכשיריה שיתקן את הפרצה. עם זאת, לפי אתר החברה, היא מתכוונת לעדכן רק דגמים המריצים את גרסאות 8, 9 ו-10, ולא את כל הגרסאות מאז 4.4.4, בה נוספה לראשונה התמיכה בתמונות שבאמצעותן בוצעה הפרצה.
מי ישמע מה קרה
בשורה רעה בתור צרכן שרק משתמש בסמסונג… זו רשלנות חמורה של פאקיגנ סמסונג
האח הגדול בכל מקום זה לא חדש.
אני הזמנתי אחד אבל לא יודע מי האמא והאבא כלום מידע אמין לא אמין אין פרטים למרות שבעליאקספרס יש שעונים דומים ב30 שקל לקחתי סיכון גדול מקווה שלא אתחרט
אני בכלל לא אהבתי תכתבה הזו אני חא אקנה יותר גלקסי בגלל הפריצה