התקיפה מתאפשרת באמצעות החייגן

היה זה רק עניין של זמן: פריצת אבטחה, שכבר תוקנה על-ידי גוגל בגירסאות העדכניות של אנדרואיד, מאפשרת על-ידי לחיצה על קישור לבצע מחיקה מלאה (Full Wipe) של המידע המאוחסן על גבי הסמארטפון.

מחיקת מידע באמצעות החייגן

התקיפה מתאפשרת באמצעות החייגן

פריצת האבטחה נמצאה לפני מספר ימים, כשהתקיפה מתבצעת על-ידי שימוש ב"קוד USSD", צירוף של תווים ומספרים המאפשרים למכשיר לבצע פעולה מסויימת. כך לדוגמא באמצעות הכנסה של המחרוזת *#06#* בחייגן,ניתן להציג את מספר ה-IMEI של המכשיר, וכאשר מערכת ההפעלה מזהה אינטראקציה עם מספר טלפון, נפתח החייגן כשהמספר כבר מוקלד בתוכו.

באותו האופן מנוצלת הפריצה, אך במקום מספר טלפון, מופעלת מחרוזת של תווים אשר מורה למכשיר לבצע מחיקה מלאה ו/או שיחזור הגדרות יצרן, כך שכל המידע אשר קיים מקומית על המכשיר נאבד. התקיפה יכולה להתבצע על-ידי מספר אינטראקציות: לחיצה על קישור או קוד אשר מתקבל דרך אתר אינטרנט, הודעה כתובה, סריקה של קוד QR או מדבקת NFC.

רוב מכשירי האנדרואיד חשופים לפריצה
הפריצה הודגמה בכנס Ekoparty על-גבי מכשיר גלקסי אס 3, ויוחסה בעיקר למכשירי סמסונג אשר מצויידים במעטפת טאצ'וויז, הממשק המותאם אישית של החברה אשר גם כולל חייגן ייעודי המאפשר מחיקה מלאה באמצעות קוד USSD. על-מנת לבדוק אלו מכשירים פגיעים ל"הזרקה" של קוד USSD בנה דילן ריב אתר בדיקה אשר מציג קישור שלחיצה עליו, דרך הנייד, מציגה את קוד ה-IMEI של המכשיר. אך לאחר מכן דילן הסתייג והעלה פרסום נוסף בו הוא מבהיר כי לא כל מכשיר שמאפשר הזרקה של קוד USSD מאפשר לבצע מחיקה מלאה באמצעות שימוש בקוד כזה, כך שכרגע עדיין לא יודע אלו מכשירים חשופים למתקפה.

קרא עוד:  גוגל תתייג אתרים איטיים בדפדפן הכרום

הנתון העצוב בכל הסיפור הוא שהפריצה המדוברת טופלה על-ידי גוגל לפני כ-3 חודשים ונראה כי מכשירים אשר מריצים את אנדרואיד בגירסה 4.0.4 ומעלה לא חשופים למתקפה, אך כאמור רק פחות מ-22 אחוז ממכשירי האנדרואיד מריצים גירסה זו ומרבית מכשירי האנדרואיד כן חשופים, באופן פוטנציאלי למתקפה.

וידאו: פריצת האבטחה מודגמת באמצעות שימוש ב-NFC

ניתן להתגונן
ראשית ניתן כמו תמיד פעולת המנע הטובה ביותר היא לא ללחוץ על קישורים ממקור לא ידוע. בנוסף, אם מכשיר האנדרואיד שברשותכם לא מעודכן לגירסה 4.0.4 ניתן להתקין חייגן נוסף כמו Dialer One ולא לבחור אותו כחייגן כברירת מחדל, כך שכל אינטראקציה אשר מפעילה את חייגן הטלפון ללא ידיעתכם תפתח את מסך בחירת החייגן ולא את החייגן עצמו.

-פרסומת-
מנהל רשתות במקצועו והוא בעליו הגאים של ערוץ היו-טיוב The G3 Show. הוא גיימר, גיק וכל מה שבניהם. דעתן וחובב חפיצים מושבע. שי מחליף טלפונים כמו גרביים וכל כמה חודשים ניתן למצוא אצלו חפיץ חדש ביד. הדבר היחיד שהוא אוהב יותר מחפיצים הוא להשתמש במושגים עבריים (ידעתם שחפיצים הם גאדג'טים?). בזמנו החופשי המועט משמש שי כמקור מידע טכנולוגי ״של החבר׳ה״.