חברת צ’קמרקס (Checkmarx) הישראלית חשפה פרצת אבטחה חמורה במיוחד באפליקציית המצלמה הרשמית של גוגל (Google), וגם בזו של סמסונג (Samsung). הפרצה מאפשרת השתלטות מרחוק, צילום והקלטת שיחות, העתקת מידע ומעקב אחר מיקום מדויק באמצעות GPS – זאת ללא ידיעת המשתמש. כמות המכשירים המושפעים עומדת על מאות מיליוני יחידות שנמכרו ברחבי העולם.
התוקף, דרך ממשק הצילום, יכול לצלם תמונות וסרטונים, להקליט שיחות, לשדר מיקום וגם להשיג כאמור גישה מלאה לקבצים כגון תמונות שכבר צולמו בעבר. משך כל אותו זמן נשמר חיבור קבוע עם ‘יחידת הפיקוד’ המופעלת בידי הפורץ, גם כאשר כל האפליקציות במכשיר סגורות.
התקלה דווחה במקור לגוגל בחודש יולי האחרון, וסווגה לאחר כמה ימים כפרצת אבטחה חמורה המצריכה התייחסות מיידית. זו אכן ניתנה עוד במהלך אותו חודש, וגוגל העבירה את הפרטים לסמסונג שדאגה לעדכן גם את מכשיריה באופן אוטומטי – כך שסביר להניח שרוב קרב הלקוחות כבר איננו חשוף לתקלה.
“כולם היום בטוחים יותר בעקבות עבודת החוקרים של צ’קמרקס. אולי הגיע הזמן שגוגל תפנה משאבים לצורך איתור תקלות באנדרואיד עצמה”, כתב איאן תרונתון-טראמפ, מומחה אבטחה ובכיר בגוף התקנים CompTIA, ששלח עקיצה הנוגעת לכך שרוב הפרסומים של גוגל בתחום האבטחה מהשבועות האחרונים התייחסו דווקא לתקלות שאותן איתרה החברה במערכות הפעלה מתחרות.
וואו וואו… אתם לא יכולים לזרוק ככה ידיעות כאלו מבלי לפרט מה התוקפים עושים בכדי לקבל את הגישה הזו ומה גורם לתקיפה.