מאות מיליוני משתמשים היו בסכנה: התגלתה פרצת אבטחה באנדרואיד

פרצת אבטחה נרחבת אפשרה לתוקפים להפעיל מרחוק את המצלמה, את המיקרופון ואף להקליט שיחות בסמארטפון • מומחי אבטחה הופתעו מחומרת הפרצה

פורבס ישראל
20 בנובמבר 2019

צוות מחקרי האבטחה ב-Checkmarx הישראלית כבר רגיל לחשוף פרצות אבטחה מדאיגות, כשבעבר גילתה החברה פרצות ב-Alexa של אמזון וב-Tinder. עם זאת, גילוי של פרצות אבטחה המשפיעות על סמארטפונים של גוגל ושל סמסונג, עם פוטנציאל להשפיע על מאות מיליוני משתמשי אנדרואיד, הוא הגילוי הגדול ביותר עד כה.

מה גילו החוקרים? פרצה באמצעותה יכול התוקף להשתלט על אפליקציות המצלמה של הסמארטפון ולצלם מרחוק, להקליט וידיאו, לרגל אחר השיחות על ידי הקלטתם, זיהוי המיקום ועוד. כל זה מתנהל בשקט, ברקע, כאשר המשתמש לא מודע לכך.

כאשר צוות מחקרי האבטחה של Checkmarx החל לחקור את אפליקציית המצלמה של גוגל, בסמארטפונים Pixel 2XL ו- Pixel 3, הם מצאו מספר נקודות תורפה. כל אלה מאפשרות לתוקף לעקוף את ההרשאות שהמשתמש העניק לאפליקציה. "הצוות שלנו מצא דרך לתפעל פעולות וכוונות ספציפיות", אמר ארז ילון, מנהל מחקרי אבטחה ב-Checkmarx, "מה שמאפשר לכל יישום, ללא הרשאות ספציפיות, לשלוט באפליקציית המצלמה של גוגל. אותה טכניקה חלה גם על אפליקציית המצלמה של סמסונג". ההשלכות של פרצות אלה, לאור נתח השוק הרחב של הסמארטפונים של גוגל וסמסונג בלבד, היוו איום משמעותי על מאות מיליוני משתמשים.

אחת מפרצות האבטחה הגדולות שהתגלו עד כה. צילום: shutterstock

הפרצות עצמן אפשרו לאפליקציה סוררת ללכוד תמונות מהמצלמה, להפעיל את המיקרופון כמו גם לגשת לנתוני מיקום מרחוק. ההשלכות של היכולת לעשות זאת הן רציניות מספיק, כך שלפרויקט הקוד הפתוח של אנדרואיד יש מערכת ספציפית של הרשאות. כל יישום צריך לבקש מהמשתמש אישור לפני שיאפשר פעולות כאלה.

מה שעשו החוקרים היה ליצור תרחיש התקפה שעשה שימוש לרעה באפליקציית המצלמה של גוגל עצמה כדי לעקוף את ההרשאות הללו. הם עשו זאת על ידי יצירת אפליקציה זדונית שניצלה את אחת ההרשאות הנפוצות ביותר: גישה לאחסון. "אפליקציה זדונית הפועלת במכשירי אנדרואיד יכולה לקרוא את כרטיס הזיכרון", אמר ילון, "לא רק שיש גישה לתמונות וסרטוני עבר, אלא באמצעות מתודולוגיית התקפה חדשה זו, ניתן לצלם תמונות וסרטונים חדשים".

הרשאה שגרתית

על ידי בקשת ההרשאה היחידה והשגרתית לזיכרון האחסון, סביר להניח שהאפליקציה לא תדליק נורות אזהרה בקרב המשתמשים. אחרי הכל, אנחנו בדרך כלל מטילים ספק בבקשות רשות מיותרות ונרחבות ולא בבקשה אחת, נפוצה. עם זאת, האפליקציה הזו היתה רחוקה מלהיות לא מזיקה. זה הגיע בשני חלקים, אפליקציית הלקוח פועלת בסמארטפון ושרת פקודות ובקרה שאליו הוא מתחבר כדי לבצע את הפקודות של התוקף. לאחר התקנת האפליקציה והפעלתה, היא תיצור חיבור מתמשך לשרת התוקף ואז תשב ותמתין להוראות. סגירת האפליקציה לא סגרה את חיבור השרת הזה.

אלו ההוראות שהצליח התוקף לשלוח, וכתוצאה מכך לבצע פעולות שונות: צילום תמונה והקלטת וידאו באמצעות מצלמת הסמארטפון והעלאה שלה לשרת של התוקף; המתנה להפעלת שיחה קולית, על ידי ניטור חיישן הקרבה לסמארטפון כדי לקבוע מתי הטלפון קרוב לאוזן והיכולת להקליט את השמע משני צידי השיחה; במהלך אותן שיחות מנוטרות, התוקף יכול גם להקליט וידיאו של המשתמש במקביל לצילום שמע; שימוש בתגי GPS מכל התמונות שצולמו ושימוש בתצלומים אלה כדי לאתר את הבעלים במפה גלובלית; גישה למידע התמונות והווידאו השמור, כמו גם לתמונות שצולמו במהלך המתקפה.

הרחק מאור הזרקורים

פרסום גילוי זה השבוע תואם עם גוגל וגם עם סמסונג כדי להבטיח ששניהם פרסמו תיקונים לפרצות. הגילויים החלו כבר בראשית חודש יולי, כאשר Checkmarx הגישה דו"ח פרצות אבטחה לצוות האבטחה של אנדרואיד בגוגל. ב-13 ביולי גוגל קבעה תחילה את חומרת הפרצה כמתונה, אך בעקבות פידבק נוסף מ-Checkmarx, רמת החומרה הועלתה לגבוהה ב-23 ביולי. ב-1 באוגוסט גוגל אישרה שהפרצות השפיעו על המערכת האקולוגית הרחבה יותר של אנדרואיד וספקי סמארטפונים אחרים נפגעו. ב-18 באוגוסט יצרו קשר עם ספקים מרובים, וב-29 באוגוסט סמסונג אישרה כי הפרצה השפיעה על המכשירים שלהם.

דובר גוגל מסר לפורבס: "אנו מעריכים ש-Checkmarx מביאה את זה לידיעתנו ועובדת בשיתוף עם גוגל ואנדרואיד כדי לטפל בה. הנושא טופל במכשירי גוגל שהושפעו ממנה באמצעות עדכון יישום המצלמה של גוגל בחנות האפליקציות Play עוד בחודש יולי".

סמסונג בחרה שלא להגיב עד מועד פרסום הכתבה.

הגיע הזמן שגוגל תאפשר לגשת לקוד המלא של אנדרואיד. צילום: shutterstock

ההמלצה המקצועית: יש לעדכן את המכשיר לגרסה האחרונה של מערכת ההפעלה אנדרואיד, וכן לעדכן לגרסה האחרונה של אפליקציית המצלמה של גוגל, אם זו מותקנת במכשיר.

חוות דעת שומטת לסתות

איאן ת'ורנטון-טראמפ, מומחה סייבר וחבר סגל עולמי ב-CompTIA, מתייחס ברצינות לגילוי הפרצה הזו וכיצד היא משפיעה על מערך האבטחה של הטלפון החכם. "הלסת שלי נשמטה כשקראתי את הדו"ח הזה על עד כמה אפליקציית המצלמה הייתה חשופה", טוען ת'ורנטון-טראמפ. "זה לא נשמע כמו פרצה רגילה, אלא יותר כמו פעולה נרחבת של תוכנות ריגול מלאות". אכן, ת'ורנטון-טראמפ ציין כי אילו היו חוקרי האבטחה חובשים כובעים שחורים, הם יכלו בקלות להרוויח מאות אלפי דולרים ממחקר זה. "כולם בטוחים יותר היום בגלל העבודה והיושר הגדול של חוקרי Checkmarx", אומר ת'ורנטון-טראמפ.

כמו רובנו, ת'ורנטון-טראמפ שמח שגוגל הוציאה תיקון והפיצה אותו במהירות, אך הוא אומר כי בהתבסס על חומרתן ואופיין המקיף של הפרצות, "הגיע הזמן שגוגל תפעיל אולי חלק מ'פרויקט Zero' באמצעותו ניתן לחפור לעומק במערכת ההפעלה אנדרואיד". אין ספק כי המספר הגבוה של פרצות אנדרואיד שנחשף פוגע במותג וגוגל צריכה לעשות יותר בכל מה שקשור באבטחת הפרטיות של הלקוחות של מכשירים שמריצים אנדרואיד. בינתיים, "כל מי שיש לו על מה להגן צריך לעדכן את מכשירו מיד", אומר ת'ורנטון-טראמפ, "אם לא ניתן לעדכן את המכשיר בגלל גילו או מחסור בתמיכה של היצרן, זה הזמן להחליף מכשיר חדש".