מדי סטון, חוקרת אבטחה ב-Project Zero של גוגל (Google), שמטרתו לאתר פרצות אבטחה חמורות ובעיקר ‘יום אפס’, חשפה בסוף השבוע פרצת אבטחה משמעותית באנדרואיד (Android) ובדפדפן Chrome, שיכולה הייתה לאפשר לפורצים להשתלט לחלוטין על מכשירים ולעשות בהם ככל העולה על רוחם.
לפי סטון, הפרצה נמצאת בליבת מערכת ההפעלה של גוגל והיא אפשרה גישה ל-‘שורש’ (Root) של המערכת. המשמעות היא יכולת שליטה מוחלטת על המכשיר, כולל הפעלת וכיבוי תכונות שונות וגישה לכל המידע. הפרצה כבר התגלתה ותוקנה לפני כשנתיים, אך עתה מתברר כי החל בפיתוח של אנדרואיד 8 הוחזר קוד ישן לשימוש, והוא פתח אותה מחדש.
חוקרי צוות האבטחה בגוגל בדקו והוכיחו שהפרצה עובדת על מכשירים מדגמי Galaxy S7 עד Galaxy S9 של סמסונג (Samsung); על P20 של וואווי (Huawei); על Redmi 5a, Redmi Note 5 ו-A1 של שאומי (Xiaomi); וגם שני הדורות הראשונים של סדרת Pixel של גוגל עצמה. עם זאת, סטון ציינה כי הפרצה לא דורשת כמעט התאמה למכשירים שונים, ולכן סביר להניח שרשימת המכשירים המושפעים ממנה ארוכה הרבה יותר.
הפינה הישראלית?
צוות הערכת האיומים בגוגל הוסיף כי הפרצה נוצלה על ידי החברה הישראלית NSO, המוכרת כבעלת יכולות פריצה כמעט בלתי מוגבלת לטלפונים. לדבריהם, שתי פרצות שונות אפשרו להאקרים לקבל את הגישה לשורש, כשאחת מהן התבססה על פרצה ב-Chrome, והשנייה על מנגנון ההרשאות לאפליקציות. בכל מקרה, כדי להשתלט על מכשיר בעזרת הפרצה הזו היו ההאקרים חייבים לגרום למשתמש ליפול בפח פעמיים ולהתקין אפליקציה זדונית נוספת לאחר החשיפה בשלב הראשון.
הפרצה התגלתה שבוע לפני חשיפתה, אך טרם תוקנה. גוגל מסרה כי מכשירי ה-Pixel צפויים לקבל עדכון שיתקן את הפרצה במהלך החודש הנוכחי. חשיפת הפרצה לפני שגוגל תיקנה אותה במכשיריה מאותתת לחברות מתחרות, בעיקר למיקרוסופט (Microsoft) ואפל (Apple) שהתלוננו בעבר פעמים רבות על כך שצוות האבטחה של גוגל חושף פרצות בתוכנות שלהן בלי לתת להן מספיק זמן לתקנן, כי הצוות לא עושה הנחות גם למי שמשלם לו את המשכורות.
NSO מסרה בתגובה לתקשורת הזרה: “NSO לא מכרה ולעולם לא תמכור פרצות או חולשות. הפרצה הזו אינה קשורה כלל ל-NSO. עבודתנו מתמקדת בפיתוח מוצרים המסייעים לגופי מודיעין ואכיפת חוק בעלי רישיון להציל חיים”.