מומחים מצאו דרכים חדשות לתקוף מכשירי אנדרואיד
המומחים הציגו בוועידה שנערכה אמש (ד'), בין היתר, שיטה להשתלת קוד עוין במכשירי אנדרואיד באמצעות התפקוד החדש של טכנולוגיית התקשורת לטווח קרוב NFC ● אחד מהם אמר, כי "נכון להיום, מערכת ההפעלה אנדרואיד היא כמו המערב הפרוע" ● גוגל סירבה להגיב
מומחים הציגו אמש (ד') דרכים חדשות לתקוף מכשירי אנדרואיד (Android) שלטענתם פועלות כמעט בכל הגרסאות של מכשירים אלה. זאת, למרות המאמצים שמשקיעה גוגל (Google) כדי לתגבר את האבטחה של מערכת ההפעלה שלה למכשירים ניידים.
המומחים הציגו את הדרכים בוועידת האבטחה Black Hat שנערכה אתמול בלאס ווגאס, בהשתתפות כ-6,500 אנשי אבטחה מהממשל האמריקני ומארגונים גדולים. "בגוגל מציגים התקדמות, אך המפתחים של התוכנות הזדוניות אינם עוצרים לרגע", אמר שון שולטה ממעבדות SpiderLabs של Trustwave.
צ'רלי מילר, חוקר מחברת Accuvant, הציג שיטה להשתלת קוד עוין במכשירי אנדרואיד באמצעות התפקוד החדש של טכנולוגיית התקשורת לטווח קרוב NFC. "אני יכול להשתלט על המכשירים שלכם", טען.
באמצעות טכנולוגיית NFC אפשר לשתף תמונות עם חברים, לשלם או לבצע פעולות נוספות מול טלפונים נוספים או מסופים מתאימים שמצוידים בטכנולוגיה. מילר פיתח מכשיר זעיר שניתן להציב במקומות שבהם הוא אינו מעורר חשד, למשל סמוך לקופה. המתקפה מתבצעת כשמשתמש במכשיר אנדרואיד עובר ליד הקופה.
מילר עבד במשך חמש שנים כאנליסט בסוכנות לביטחון לאומי (NSA) של ארצות הברית ובין השאר עסק בפריצה למערכות מחשב של גורמים זרים. ביחד עם ג'ורג' וישרסקי מחברת CrowdStrike הוא הצליח להדביק מכשיר אנדרואיד בקוד זדוני שהציג עמיתו כבר בפברואר. הקוד מבוסס על ניצול פרצה בדפדפן של מערכות אנדרואיד. לדברי וישרסקי, דבר קיומה של הפרצה פורסם כבר על ידי המפתחים של הדפדפן כרום (Chrome) לציבור הרחב, והפרצה תוקנה.
מאחר שכרום מעודכן לעתים תכופות, מעריך וישרסקי שמרבית המשתמשים לא היו אמורים להיות חשופים עוד לפרצה, אולם הוא מוסיף ומציין, כי רבות ממפעילות הסלולר אינן מקפידות לדחוף את התיקונים למנויים שלהן, ומשום כך ייתכן שמשתמשים רבים עדיין חשופים.
לדברי מרק מייפרט, מנהל הטכנולוגיה הראשי של חברת האבטחה BeyondTrust, "בגוגל פיתחו תפקודי אבטחה מעולים, אך איש אינו מצויד בהם".
מומחים מציינים כי המשתמשים במכשירי iPhone ומחשבי iPad אינם סובלים מבעיות דומות, משום שבחברת אפל מסוגלים לגרום למפעילות הסלולר לדחוף את העדכונים מיד לאחר שהם משוחררים.
"יש לקוות שבגוגל יצליחו לפתור את הבעיות במהירות", אמר ניקולס פרקוקו, סגן נשיא בכיר במעבדות SpiderLabs של Trustwave, לגבי פרצות האבטחה שחשפה החברה בוועידה. "נכון להיום, מערכת ההפעלה אנדרואיד היא כמו המערב הפרוע".
דוברת גוגל, ג'ינה סיגליאנו, סירבה להגיב על בעיות אבטחה או על הממצאים של המומחים.
תגובות
(0)