היה זה רק עניין של זמן: פריצת אבטחה, שכבר תוקנה על-ידי גוגל בגירסאות העדכניות של אנדרואיד, מאפשרת על-ידי לחיצה על קישור לבצע מחיקה מלאה (Full Wipe) של המידע המאוחסן על גבי הסמארטפון.
מחיקת מידע באמצעות החייגן
התקיפה מתאפשרת באמצעות החייגןפריצת האבטחה נמצאה לפני מספר ימים, כשהתקיפה מתבצעת על-ידי שימוש ב”קוד USSD”, צירוף של תווים ומספרים המאפשרים למכשיר לבצע פעולה מסויימת. כך לדוגמא באמצעות הכנסה של המחרוזת *#06#* בחייגן,ניתן להציג את מספר ה-IMEI של המכשיר, וכאשר מערכת ההפעלה מזהה אינטראקציה עם מספר טלפון, נפתח החייגן כשהמספר כבר מוקלד בתוכו.
באותו האופן מנוצלת הפריצה, אך במקום מספר טלפון, מופעלת מחרוזת של תווים אשר מורה למכשיר לבצע מחיקה מלאה ו/או שיחזור הגדרות יצרן, כך שכל המידע אשר קיים מקומית על המכשיר נאבד. התקיפה יכולה להתבצע על-ידי מספר אינטראקציות: לחיצה על קישור או קוד אשר מתקבל דרך אתר אינטרנט, הודעה כתובה, סריקה של קוד QR או מדבקת NFC.
רוב מכשירי האנדרואיד חשופים לפריצה
הפריצה הודגמה בכנס Ekoparty על-גבי מכשיר גלקסי אס 3, ויוחסה בעיקר למכשירי סמסונג אשר מצויידים במעטפת טאצ’וויז, הממשק המותאם אישית של החברה אשר גם כולל חייגן ייעודי המאפשר מחיקה מלאה באמצעות קוד USSD. על-מנת לבדוק אלו מכשירים פגיעים ל”הזרקה” של קוד USSD בנה דילן ריב אתר בדיקה אשר מציג קישור שלחיצה עליו, דרך הנייד, מציגה את קוד ה-IMEI של המכשיר. אך לאחר מכן דילן הסתייג והעלה פרסום נוסף בו הוא מבהיר כי לא כל מכשיר שמאפשר הזרקה של קוד USSD מאפשר לבצע מחיקה מלאה באמצעות שימוש בקוד כזה, כך שכרגע עדיין לא יודע אלו מכשירים חשופים למתקפה.
הנתון העצוב בכל הסיפור הוא שהפריצה המדוברת טופלה על-ידי גוגל לפני כ-3 חודשים ונראה כי מכשירים אשר מריצים את אנדרואיד בגירסה 4.0.4 ומעלה לא חשופים למתקפה, אך כאמור רק פחות מ-22 אחוז ממכשירי האנדרואיד מריצים גירסה זו ומרבית מכשירי האנדרואיד כן חשופים, באופן פוטנציאלי למתקפה.
וידאו: פריצת האבטחה מודגמת באמצעות שימוש ב-NFC
ניתן להתגונן
ראשית ניתן כמו תמיד פעולת המנע הטובה ביותר היא לא ללחוץ על קישורים ממקור לא ידוע. בנוסף, אם מכשיר האנדרואיד שברשותכם לא מעודכן לגירסה 4.0.4 ניתן להתקין חייגן נוסף כמו Dialer One ולא לבחור אותו כחייגן כברירת מחדל, כך שכל אינטראקציה אשר מפעילה את חייגן הטלפון ללא ידיעתכם תפתח את מסך בחירת החייגן ולא את החייגן עצמו.
מסכן “האקר” מהסרטון, תכל’ס שום דבר לא עובד לו במצגת… !
זה קיים בכל מכשיר.
ראה:
http://www.mseclab.com/?p=164
אנשים פרנואידים ורושמים שטויות בטונה! מה הקשר לא לקנות אנדרואיד בגלל זה? מישהו מכם נתקל בחבר או כל אחד אחר שהוא מכיר שפרצו לו למכשיר ומחקו לו את הכל? חשבונות האפל ID של אפל לא נפרצו ונגנבו משם אלפי אם לא מאות אלפי פרטים של כרטיסי אשראי? חלאס עם זה אנשים, כל מכשיר חשוף בצורה כזו או אחרת למתקפה כלשהי, אבל בתכלס זה נדיר ואין כמעט סיכוי שזה יפגע דווקא בכם. תשנו בשקט. ולהוא שאמר שזו הסיבה לא לרכוש אנדרואיד אז אתה כנראה לא ממש מבין הרבה במערכת ואתה נוהג לקפוץ על כל פיפס, אז תדע שבאנדרואיד יש לך אפשרות לשמור תמונת מערכת (Image) ממש כמו נורטון גוסט במחשב ואז לשחזר אותו במקרה נדיר שכזה אחד לאחד כאילו לא קרה כלום. באייפון יש דבר כזה? שאלה רטורית כי אין!
אם הייתי מבין קצת ובודק לפני שאתה רושם דברים אי אפשר לראות את מספר כרטיס כרטיס אשראי בapple id
איזה שטויות אנשים רושמים פה…
גפ באייפון היתה פריצה לפני לא הרבה זמן (בהודעות), לפחות סמסונג וכו’ דואגות לפיתרון בניגוד לאפל…
זו אחת החיסרונות של מערכות הפעלה הפתוחות!
אני עם xperia ray עם ICS , הפירצה לא עובדת
יש לי גרסא 4.0.4 בגלקסי אס 2 שלי…
לפי מקורות אחרים זה לא תלוי בגרסא כי אם ביצרנית… ממשק הטאצ’וויז של סמסונג ביטל את החסימה של הפרצה כמו גם ממשק הסנס ועוד ממשקים… סמסונג הודיעו שישחררו בזמן הקרוב מאוד עדכון תוכנה שאמור לסדר את זה…
זה למה אני באייפון ולא באנדרואיד שכל שנייה יש איזה וירוס
אתה חי בסרט חח יהיה לך וירוס על הפלאפון רק אם ממש תתאמץ
סיבה משמעותית למה לא לקנות אנדרואיד..נורא ואיום!
אהה ואפל לא עברה פריצה לא מזמן?