כשהאיש המשפיע בעולם מסתובב עם מכשיר אנדרואיד לא מאובטח
לדונלד טראמפ, הנשיא הנכנס של ארצות הברית, יש עדיין - על פי הדיווחים - סמארטפון מבוסס אנדרואיד שאינו מוגן ומאובטח כראוי ● זו בעיה עבור כולנו
דיווח חדש של הניו-יורק טיימס (New York Times) אודות התמקמותו של הנשיא הנכנס, דונלד טראמפ, בבית הלבן, העלה כבדרך אגב עניין מהותי למדי – טראמפ, על פי הנאמר, עדיין משתמש בטלפון האנדרואיד הישן והלא המאובטח שלו. בדיווחים קודמים נטען שטראמפ ויתר על מכשיר מאובטח שהוצע לו, ואשר מנוהל על ידי מומחי ממשלה. עוזריו הפצירו בטראמפ להפסיק את השימוש במכשיר הלא מאובטח, כך לפי דיווחים, אך הוא עדיין משתמש בו לצרכיו האישיים.
מנקודת מבט טכנית גרידא, במקרה הזה התעלמות מוחלטת מהמדיניות והנוהל הבטיחותי המקובל היא רעיון גרוע. אמנם כיום מערכת ההפעלה אנדרואיד היא מאוד מאובטחת, ואין אפילו צורך להריץ עליה יישומי אנטי וירוס או לחשוש יותר מדי מפני איומי תוכנות זדוניות, אך עם זאת, האבטחה של מכשירי האנדרואיד היא מנקודת מבטו של הצרכן הפשוט.
אין דין אבטחת הנשיא כדין אבטחת האזרח הפשוט
אדם בסדר גודל כמו נשיא ארה"ב מהווה מטרה משמעותית בעבור האקרים עצמאיים בחסות מדינות עוינות. מומחי אבטחה שונים מסבירים כי לכל פיסת תוכנה יש פגמים, והדבר כולל גם את מערכות ההפעלה iOS ,Windows ואנדרואיד, כמו גם את שולחן העבודה של לינוקס (Linux), וכן הלאה.
המערכות הללו מגיעות עם תיקוני אבטחה בכל עדכון. אך הפאצ'ים הללו מתקנים רק את האיומים אשר התגלו, כך שניתן היה לתקנם. Bug bounty programs הוקמו בכדי לאפשר למומחי אבטחה לחשוף נקודות תורפה בתוכנות, אבל יש קבוצות אחרות שישלמו יותר בעבור השירות ההפוך. המתעניין האופציונלי בפגיעה או בפריצה לנייד של הנשיא לא חייב להיות גורם עוין לארה"ב. יש תמיד מי שיחשוק בריגול אחרי הנשיא, אפילו גורמים מתוך ממשלתו שלו, ובוודאי יריבים פוליטיים.
מעקב אחרי כל תו שהוקלד או האזנה לשיחות
בחודש אפריל 2015 נחשפה למשל קבוצת הבאגים מפורסמת, המכונה Stagefright – שהתגלתה על ידי חוקרי חברת אבטחת המידע הישראלית Zimperium. החוקרים גילו נוזקה, אשר מאפשרת לתוקפים לשלוח למשתמשי אנדרואיד הודעת MMS שלא נראית חשודה, אך שלמעשה היא עמוסה בתוכנות זדוניות המשפיעות על מערכת ההפעלה אנדרואיד, מגרסה 2.2 ואילך. המשתמש במכשיר אינו חייב לנקוט בפעולה בכדי לעורר את הנוזקה הזו, שמתחילה לפעולה עצמאית, לרוב כלל מבלי שבעליו של המכשיר יהיה מודע לה. מקרה זה, שסיכן מכשירים רבים, נחשף לציבור ותוקן, אבל האקר ממוקד מטרה ובעל מוטיבציה גבוהה יכול להשתמש בטקטיקה דמוית Stagefright או בנוזקה דומה בכדי לכוון אותן למכשיר מסוים בבעלות פרטית, למשל למכשירו הפרטי מבוסס האנדרואיד של הנשיא החדש.
אם גורם כלשהו רוצה לסכן את הטלפון של הנשיא, אפילו אם הנשיא אכן עושה בו רק שימוש פרטי, מספיק להסתכל על המתקפות הזדוניות מהעבר, שהופנו כנגד מערכת אנדרואיד, בכדי לראות מה ניתן להשיג באמצעות סוג כזה של פגיעה.
תסריט מצמרר במיוחד
תוכנות זדוניות באנדרואיד יכול לשמש לצורך מעקב אחרי מיקומו של מי שנושא את המכשיר, לפקח על השימוש שהוא עושה באפליקציות ואפילו לצלם בעזרת המצלמה של הנייד. למעשה, אין גבול למה שאפשר לעשות בדרך זו, ובמיוחד לאדם כה משפיע כמו טראמפ. מערכת ההפעלה של הסמארטפון עלולה לקבל הוראה לעקוב אחרי כל הקשה על הנייד או להפעיל שירותים חדשים סמויים ושקטים ברקע על-מנת להאזין לכל שנאמר במכשיר.
אפשר להצטמרר רק מלחשוב על מצב שכזה, שבו מישהו שמאיים על ביטחון המדינה או העולם שומע וקורא כל פיסת מידע שעברה במכשירו הפרטי של הנשיא הנבחר החדש. ולא, לא מדובר על אי הנעימות שכרוכה בהאזנה או קריאה של התכנים הרגילים שבהם עוסק טראמפ, אלא על זליגתם של חומרים הרבה יותר רגישים ומשמעותיים שיכולים לעבור בינן הנשיא הנבחר לבין אנשי הקשר שלו, גם במכשירו הפרטי.
תגובות
(0)