בתקופה האחרונה מכשירי סמארטפונים כמו אלו של סמסונג בשיתוף פעולה עם גוגל ומערכת האנדרואיד שלה, כוללים בתוכם שבבי NFC. אלו הם שבבים שכאשר המשתמש מקרב את גב המכשיר למכשיר תומך אחר או אפילו לפרסומת ברחוב או לקופה רושמת בסופר או בחנות, ניתן לבצע מספר פעולות כמו הצגת הפרסומת (בדומה לברקודים של היום), בחנויות ניתן לשלם איתם את החשבונות במקום להסתובב עם הארנק או כרטיסי האשראי זאת בעזרת מערכת ייחודית שפותחה ע”י גוגל בשם הפשוט והמוכר Google Wallet (ארנק), ושימושים רבים אחרים. אבל, כמו לכל טכנולוגיה הן מבחינת חומרה והם מבחינת התוכנה בעידן הדיגיטלי של היום, גם לשבבים האלו יש יתרונות וחסרונות. אתם אמנם מרוצים מכך שאתם חוסכים לעצמכם “להיסחב” עם ארנק מלא בכסף קטן, שטרות, וכרטיסי אשראי בידיעה שכל מה שאתם צריכים זה מכשיר הסמארטפון שלכם, אבל מסתבר שניתן לנצל את הטכנולוגיה גם לרעה, ולמזלנו ישנם האקרים שנמצאים בצד הטוב, בצד שלנו, ועוזרים לחברות למצוא פרצות וסכנות בשימוש בטכנולוגיות החדשות האלה.
הכסף הדיגיטילי יכול להיעלם
השבוע נודע שנמצאה לראשונה פרצה אבטחה למערכת הסיסמאות שגוגל משתמשת בה כדי להגן על שירות הארנק הדיגיטלי. כאשר נודע הדבר, לא היה מקום לדאגה, והמשתמשים שרובם חיים בארה”ב שם פועל כיום השירות יכלו להישאר רגועים כל עוד הם לא פרצו (Root) את מכשיר הסמארטפון שלהם, מהסיבה שלעומת שבב ה-NFC שכן מאובטח, הארנק של גוגל שומר את הסיסמה מוצפנת בטלפון עצמו, כך שאם הוא נופל לידיים הלא נכונות, בפשטות רבה ההאקר יכול למשוך את הסיסמה ולקבל גישה חופשית לחשבון ולהתחיל להשתמש בו כאילו זה הייתם אתם. חברת האבטחה “Zvelo” שגילתה את הפרצה ומיד דיווחה עליה לגוגל טוענת שכל האפליקציה בנויה באופן לא תקין ויש צורך דחוף לבצע שינויים במבנה הבסיסי ולשנות את הסדרי האבטחה שלה. כבר ברגע שגוגל החליטה להשתמש בשיטת סיסמה בעלת 4 ספרות בלבד היה ידוע שבפשטות מוחלטת תוך מספר ניסיונות גורם עויין יכול היה לפרוץ את המערכת הזאת. זה נוגד את כל הסדרי האבטחה של מערכת התשלומים דרך הסמארטפון שצריכה להיות קדמת הטכנולוגיה והכי חדשנית בתחום.
יום למחרת לאחר הגילוי המרעיש הזה, נתגלתה פרצה עוד יותר מסוכנת ע”י בלוג הטכנולוגיה “TheSmartphoneChamp”, רק שהפעם אין צורך בטלפון פרוץ בכלל. מה שעושה את אותה הפרצה כל כך מסוכנת היא העובדה שאין צורך בשום פריצה. לעומת הפרצה הראשונה שהיה צורך לפרוץ קבצים מוצפנים, זאת פשוט מצריכה איפוס כללי של הנתונים שלכם בהגדרות של התוכנה, מה שמכריח את התוכנה לבקש מהמשתמש סיסמה חדשה. לאחר שבוצע השלב הזה, כל מה שעושה הפורץ זה לקשר חשבון גוגל חדש שהוכנס בו כסף מראש וכל הכספים זמינים שוב לשימוש. השיטה הזאת נוסתה במספר רב של מקורות ואושרה ע”י גוגל עצמה.
וידאו: כל כך פשוט לפרוץ את הארנק של גוגל
סיבה לדאגה?
לאחר הפרצה הראשונה התגובה של גוגל הייתה: “המחקר של חברת האבטחה “zvelo” נערך על הטלפון שלהם שבו הם נטרלו כל אבטחה אפשרית שמגנה על התוכנה שלנו וזאת ע”י פריצה של המכשיר. נכון להיום, אין פגיעה ידועה שמאפשרת למישהו לקחת מכשיר, לבצע בו פריצה ועדיין לשמר את נתוני הארנק הדיגיטלי כמו הסיסמה. אנחנו ממליצים מאוד לאנשים שלא להתקין את התכנה שלנו על מכשירים פרוצים וכמו כן תמיד להפעיל אבטחה נוספת בצורת מסך נעילה למכשיר עצמו.” כאשר נתגלתה הפרצה השנייה, שחררה החברה תגובה רשמית נוספת שאמרה: “אנחנו מאוד ממליצים לכל אחד שמאבד את המכשיר או מעוניין להעבירו לאחר, להתקשר לשירות הלקוחות שלנו כדי לבטל את הכרטיס ששולם מראש בחשבון שלכם. אנחנו עובדים כעת על תיקון אוטומטי שישוחרר בקרוב ואנחנו ממליצים גם לכל מי שמשתמש בשירות שלנו להכניס אבטחה נוספת למכשיר בצורת מסך נעילה.”
לסיכום, אם המכשיר שלכם כבר פרוץ, תאבטחו את עצמכם בכך שתאפשרו מנגוני הגנה נוספים כמו מסך הנעילה, בטלו את האפשרות של “איתור באגים של USB”, אפשרו הצפנת דיסק מלאה, התקינו תכנת מעקב אחרי המכשיר שלכם או הפתרון הכי פשוט שיש, אל תאבדו את הטלפון שלכם עוד מההתחלה.
תמונה: Pierre Metivier cc flickr
האיתור מיקום GPS באמצעות SMS לא עובד (זה שולח SMS, מפעיל את הGPS אבל לא מצליח לאתר אותו.)
איך מצפינים את ה SDCARD?
יש לכם המלצות כלשהם לתוכנת הגנה על המכשיר?
כמו תוכנות שכשאתה שולח סמס עם קוד מסויים הוא מפעיל את הג'י פי אס ושולח לך את המיקום המדויק של הפלאפון, ומצלם במצלמה הקדמית
מישהו מכיר תוכנה כזאת?
יש מספר אפליקציות לשימושים שונים כמו Lookout נגד רוגלות, Android Protector לחסימת אפליקציות עם סיסמה, Security Shield אנטי וירוס ועוד ועוד..
ידוע לך על תוכנה שמקבלת את המיקום של המכשיר באמצעות SMS?
אני משתמש באפליקציה LostMyDroid אבל היא לא ממש פועלת כמו שצריך..
בwhere is my droid יש אפשרות שזה שולח מיקום של GPS וזה גם מעביר את הפלאפון משקט למצב רגיל https://market.android.com/details?id=com.alienma….