בחברה הדיגיטלית של ימינו, הטלפונים החכמים הפכו להמשכיות הטבעית של עצמנו. יכולות מתקדמות של מצלמות וידאו בפרט, ממלאות תפקיד מסיבי בעובדה זו, שכן המשתמשים מסוגלים להוציא במהירות את הטלפונים שלהם ולתפוס כל רגע בזמן אמת בלחיצת כפתור פשוטה. עם זאת, דבר זה יכול להיות גם חרב פיפיות, מאחר והמכשירים הניידים הללו אוספים, מאחסנים ומשתפים ללא הפסקה סוגים שונים של נתונים - עם ובלי ידיעתנו - והופכים את המכשירים שלנו למכרות זהב עבור תוקפים פוטנציאלים.
כעת, לאחר ניתוח מפורט של אפליקציית המצלמה של גוגל, נמצא כי על ידי הפעלת מניפולציות פשוטות התוקף יכול להשתלט על הטלפון שלנו, לשלוט באפליקציה, לצלם תמונות ו/או להקליט סרטונים באמצעות אפליקציה סוררת שאין לה הרשאות לעשות זאת. הפרצה נחשפה על ידי חוקרי חברת צ'קמרקס הישראלית.
בנוסף, נמצא כי תרחישי התקפה מסוימים מאפשרים לשחקנים זדוניים לעקוף מדיניות הרשאות אחסון שונות, נותנים להם גישה לסרטונים ולתמונות מאוחסנים, כמו גם אפשרות לאיתור המשתמש על ידי צילום תמונה או וידיאו, וניתוח התאים. אותה טכניקה חלה גם על אפליקציית המצלמה של סמסונג.
במחקר שנעשה התגלה כי האפליקציה הסוררת יכולה להכריח את אפליקציות המצלמה לצלם ולהקליט וידאו, גם אם הטלפון נעול או המסך כבוי, וגם כאשר משתמש נמצא באמצע שיחה קולית.
היכולת של אפליקציה לשלוף קלט מהמצלמה, המיקרופון ומיקום ה-GPS נחשבת לפולשנית מאוד גם על ידי גוגל עצמה. כתוצאה מכך, נוצרה קבוצה מסוימת של הרשאות שעל יישום לבקש מהמשתמש. מכיוון שכך היה המצב, המומחים שחקרו את הפרצה עיצבו תרחיש התקפה שעוקף את מדיניות ההרשאה הזו על ידי שימוש לרעה באפליקציית המצלמה של גוגל עצמה, ואילץ אותה לבצע את העבודה מטעם התוקף.
המשמעות היא שאפליקציה סוררת יכולה לצלם תמונות ו/או קטעי וידאו ללא הרשאות מצלמה ספציפיות, והיא זקוקה רק להרשאות אחסון כדי לקחת דברים צעד אחד קדימה ולהביא תמונות וסרטונים לאחר הצילום. בנוסף, אם המיקום מופעל באפליקציית המצלמה, ליישום הסוררים יש גם דרך לגשת למיקום ה-GPS הנוכחי של הטלפון והמשתמש.
בסכנת פלישה? מכשיר סמסונג // צילום: AP
כמובן שסרטון וידאו מכיל גם צליל. היה מעניין להוכיח שאפשר היה להתחיל וידיאו במהלך שיחה קולית. נוכל להקליט בקלות את קול המקלט במהלך השיחה ונוכל להקליט גם את קולו של המתקשר.
כדי להדגים כראוי כמה זה יכול להיות מסוכן עבור משתמשי אנדרואיד, צוות המחקר תכנן והטמיע אפליקציית הוכחת שאינה דורשת שום אישור מיוחד מעבר להרשאת האחסון הבסיסית. בדומה לתוקף מתקדם, גם אצל התוקף המדומה היו שני חלקים עובדים: חלק הלקוח המייצג אפליקציה זדונית הפועלת במכשיר אנדרואיד, וחלק שרת המייצג את שרת הפקודה והבקרה של התוקף.
האפליקציה הזדונית שנבנתה לצורך המחקר הייתה לא יותר מאשר אפליקציית מזג אוויר מדומה. כאשר הלקוח מפעיל את האפליקציה, זה בעצם יוצר חיבור מתמשך חזרה לשרת C&C ומחכה לפקודות והוראות של התוקף, שמפעיל את קונסולת השרת של C&C מכל מקום בעולם. אפילו סגירת האפליקציה אינה מסיימת את החיבור המתמשך.
כאשר התגלו הפגיעויות לראשונה, צוות החוקרים דאג שיוכלו לשחזר את התהליך של ניצולן בקלות, על מנת לעזור לגוגל לפעול לתיקונם. לאחר אישור זה, צוות המחקר הודיע לגוגל על ממצאיו.
לאחר שגוגל קיבלה את הממצאים, היא העבירה לסמסונג ולגורמים רלוונטיים נוספים, על מנת שאלה יבצעו את ההתאמות הנדרשות במערכת שלהם.
מגוגל נמסר: "אנו מעריכים את העובדה שהובא לידיעתנו מידע על פרצות במערכות שלנו ושל שותפותינו. לקחנו את הממצאים לתשומת ליבנו וטיפלנו בבעיה באמצעות עדכון של חנות הגוגל-פליי. המסקנות שלנו הועברו גם לכל שותפותינו".
מגוגל נמסר גם כי אחרי הכל, העצה הטובה ביותר שהם יכולים לתת לציבור הצרכנים על מנת להתגונן מתוכניות זדוניות היא להקפיד לעדכן כל העת את כל היישומים במכשיר שלך.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו