חור אבטחה באנדרואיד מאפשר לאפליקציות להפעיל את המצלמה מבלי שבעל המכשיר מודע לכך
ההפעלה מבוצעת על ידי שינוי קל בתכונות הבסיס של האפליקציה ● המידע על הפריצה הועבר לגוגל, טען החוקר שגילה אותה
חור אבטחה שהתגלה במערכת ההפעלה אנדרואיד (Android) יכול לאפשר לאפליקציות מסוימות להשתמש במצלמה של מכשירים המריצים את מערכת ההפעלה זו. הפעלת המצלמה מתבצעת מבלי שבעל המכשיר מודע לכך, ולאחר מכן ניתן גם להעביר את התמונות באמצעות פקודה מרחוק לשרת אחסון ברשת, ושוב, מבלי שהמשתמש מודע לכך. והיא מבוצעת על ידי שינוי קל בתכונות הבסיס של האפליקציה.
הפרצה התגלתה בידי החוקר סימון סיידור, והוא הצליח באמצעותה להתגבר על אחת מדרישות העבודה של המצלמה: הצגה של כוונת המצלמה על המסך כדי לוודא שהמשתמש יודע שהוא אכן נמצא במצב צילום, ואינו מצלם תמונות או סרטונים מבלי ידיעתו.
סיידור הצליח לשנות את דרישת המערכת, כך שהיא תמשיך להשתמש בהצגת כוונת המצלמה כאמצעי אבטחה, אך היא תהיה בגודל של פיקסל יחיד ובודד בלבד. כך הוא גם מונע למעשה מהמשתמש לשים לב שהטלפון עבר למצב צילום, מכיוון שיכולת לגלות את הפיקסל הבודד הזו שקולה לבלתי אפשרית.
באפליקציה שבנה סיידור לבדיקת הפרצה, הוא המליח לגלות פרטים נוספים כמו מצב הסוללה, את המיקום המדויק של המכשיר.
לטענתו הוא כבר פנה לאנשי גוגל (Google), יצרנית מערכת ההפעלה, והעביר להם את אמצעי המחקר שלו.
תגובות
(0)