פרצת אבטחה בטלפונים של סמסונג וגוגל אפשרה לתוקפים שליטה מרחוק במצלמה

שלט לוגו גוגל צילום: רונן מנדזיצקי, גאדג’טי

חברת האבטחה הישראלית צ’קמרקס (Checkmarx), דיווחה לגוגל וסמסונג בחודש יולי האחרון כי איתרה פרצת אבטחה המאפשרת לתוקפים באמצעות לשלוט דרך אפליקציית המצלמה על רוב הפעולות עליהן אתם מסוגלים לחשוב ללא ידיעת המשתמש. ליכולת הזו הגיעה החברה דרך בחינת קוד האפליקציה של המצלמה המותקנת במכשירי סמסונג וגוגל, כשלאחר הגילוי הראשוני החלה בפיתוח ההוכחה אותה שלחה לגוגל.

בהודעה ששחררו חוקרי החברה נחשפה דרך הפעולה של הפרצה, שהייתה פשוטה מאוד ודרשה גישה רק לאחסון של המכשיר, הרשאה אותה אנחנו מעניקים בדרך כלל לכל אפליקציה שאנו מתקינים על המכשיר ללא הקדשת מחשבה מרובה לכך.

דרך השימוש באפליקציה הזו, ניתן היה לנצל את אפליקציית המצלמה המובנית במכשירי גוגל וסמסונג על מנת לצלם תמונות וסרטונים מהמכשיר, להאזין לשיחות, לדעת היכן תמונות נלקחו על ידי שימוש ב-GPS, לגנוב את כל התמונות והסרטונים מהגלריה ולעשות את כל זה תוך השתקת הצלילים במכשיר על מנת שלא תשמעו את סאונד הלחיצה על כפתור הצילום. אם כל זה עדיין לא מספיק, ניתן היה לבצע את הפעולות גם כשהמכשיר נעול וללא צורך בפתיחתו.

לדברי ארז ילון, מנהל מחקר אבטחת המידע בחברת צ’קמרקס: “זו כנראה הפרצה הגדולה ביותר שמצאנו עד היום מבחינת העומק והמשמעות. מדובר בניצול לרעה של אפליקציית המצלמה, כיוון שהיא לא אמורה לאפשר לאפליקציה חיצונית לעקוף הרשאות ולשלוט בה באופן מלא. חשוב להדגיש שיש להתקין כל הזמן את עדכוני התוכנה של היצרניות“.

על מנת להוכיח את האפשרויות שניתנות לביצוע באמצעות פרצת האבטחה לגוגל וסמסונג, החברה יצרה הוכחה בדמות אפליקציה לצפייה במזג האוויר הדורשת אך ורק גישה לאחסון המכשיר, מה שכנראה לא היה גורם לכם לחשוד בה לעומת כל אפליקציה אחרת. לאחר התקנתה, האפליקציה יצרה קשר עם השרתים המרוחקים מהמשתמשים בה ואיפשרה לפורצים גישה לכל האפשרויות המוזכרות לעיל ללא ידיעתם.

תיקון לפרצת האבטחה כבר שוחרר בעדכון למכשיריהן של סמסונג וגוגל עקב דיווחה המוקדם של החברה. יש לזכור כי תמיד מומלץ לבצע עדכוני אבטחה במכשיר הן בגזרת העדכונים המגיעים דרך מערכת ההפעלה והן עבור האפליקציות המותקנות לכם על הסמארטפון דרך חנות ה-Google Play. לדוגמה, את התיקון לבאג המדובר גוגל שלחה כעדכון לאפליקציית המצלמה שלה דרך חנות האפליקציות המוזכרת לעיל, אשר הגיע למשתמשים כבר באותו החודש בו הוצג בפניה הדיווח.


חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.

הסקירות והתכנים המופיעים באתר מהווים המלצה בלבד, וכך יש להתייחס אליהם. כל המחירים המופיעים באתר נכונים ליום הפרסום בלבד והאחריות לקניית מוצר או שירות כזה או אחר מוטלת עליך בלבד – השימוש באתר בהתאם לתנאי השימוש והפרטיות.

השוואת מפרטים