גוגל מאשרת: מאות מיליוני משתמשי אנדרואיד היו חשופים לפרצת אבטחה חמורה
את הפרצה זיהו חוקרים ישראלים מחברת צ'קמרקס שמצאו שהיא מאפשרת להפעיל את אפליקציית המצלמה מרחוק, לבצע האזנות סתר ולקבל את המיקום של הסמארטפון. גוגל וסמסונג כבר הפיצו עדכון שחוסם אותה אך לא ברור אם יצרניות נוספות היו חשופים לה
חוקרי סייבר ישראלים חשפו היום (ג') פרצת אבטחה חמורה שסיכנה סמארטפוני אנדרואיד של גוגל וסמסונג. הפרצה איפשרה להאקרים להזריק אפליקציה זדונית דרך חנות אפליקציות, כולל זו של גוגל, ודרכה לבצע האזנות סתר, להפעיל את המצלמה מרחוק ולקבל מידע על מיקום המכשיר.
- תעשיית הסייבר ההתקפי מזיקה לשמו הטוב של ההייטק הישראלי בעולם
- האקרים פרצו לפורום Zone Alarm של צ'קפוינט
- צ'ק פוינט רוכשת את Cymplify הישראלית בכ-5 מיליון דולר
גוגל וסמסונג, הנפגעות העיקריות של הפרצה כבר הפיצו עדכון אבטחה לאפליקציית המצלמה שחוסם אותה. "זו פרצה חמורה ובעיקר שהמשתמש לא מודע לה", הסביר ל"כלכליסט", ארז ילון, מנהל מחקר אבטחת המידע בחברת צ'קמרקס, שעומדת מאחורי החשיפה.
בין הפעולות שההאקרים יכולים לבצע ניתן למנות הקלטת סרטונים, צילום תמונות מרחוק ואפילו הקלטת שיחות מבלי לבקש הרשאה מהמשתמש לעשות זאת. "האפליקציה הזדונית שמנצלת את הפרצה זקוקה למעשה רק לקבל הרשאת משתמש לגשת לאיחסון המכשיר", מוסיף ילון, "זו הרשאה מאוד בסיסית כך שלא קשה לשכנע את המשתמשים להעניק אותה לאפליקציה שהם מורידים לסמארטפון שלהם".
"עד כה לא זיהינו ניצול זדוני של הפרצה, אך אין לנו שום דרך להיות בטוחים שהיא לא שימשה האקרים בעבר", מוסיף ילון. אחת הבעיות העיקריות של חנות האפליקציות של אנדרואיד היא הקלות היחסית להחדיר אליה אפליקציות זדוניות. גוגל אף הודתה בכך לאחרונה כאשר גייסה שלוש חברות סייבר שיסייעו לה להגדיל את הפיקוח והניטור על חנות פליי.
הפרצה זוהתה באפליקציית הצילום הבסיסית של גוגל, ה-Google Camera, שמותקנת על מאות מיליוני מכשירי אנדרואיד. למעשה כל קו מכשירי הפיקסל, חלק ניכר ממכשירי סמסונג וכנראה עוד רבים נוספים של יצרניות אחרות סבלו ממנה. גוגל כבר הפיצה עדכון אבטחה לאפליקציה דרך מנגנון העדכון האוטומטי של גוגל פליי וכך גם סמסונג. עם זאת לא ברור אם יצרניות אחרות טיפלו בבעיה.
"יצרניות רבות משתמשות באפליקציית הצילום של גוגל ומתאימות אותה לצרכיהן", הסביר ילון, "כך שכל מי שהשתמש בתשתית של אפליקציית המצלמה של גוגל עשוי להיות חשוף לפרצה הזו". סביר להניח שיצרניות רבות טרם הספיקו לעדכן את האפליקציות שלהן כך שמומלץ מאוד לבצע עדכון ידני אם הדבר אפשרי.
כדי להראות את האפשרויות שזמינות להאקרים דרך הפרצה, חוקרי צ'קמרקס יצרו הדגמה שדרכה הראו שימושים פוטנציאלים. גוגל הבינה את המשמעויות של הגילוי והנפיקה מספר סידורי לפרצה - CVE-2019-2234. מעבר לגישה למצלמה, האקרים יכלו גם לקבל גישה לאחסון שלה וכך לעיין ולגנוב תמונות וסרטונים למשל. קל לדמיין את האפשרויות הפליליות שהיא מאפשרת באופן זה. מעבר לכך ההאקרים יכלו לתפעל את המצלמה בלי ידיעת המשתמש תוך שהם משתיקים את צליל הצילום או אפילו כאשר הסמארטפון נעול.
הפרצה מאוד מזכירה את היכולות שפיתחו חברות סייבר התקפי כגון NSO. לא ברור אם הן מסתמכות עליה או על פרצות אחרות, אך זו הדגמה מצוינת לשבריריות של האקוסיסטם האנדרואידי. יש לקוות שגוגל תנצל חלק מיכולות המחקר של פרויקט זירו - חטיבת המחקר הפנימית שלה שחשפה לא מעט פרצות אצל מתחרותיה - ותשקיע אותן בבדיקה יסודית של סביבת אנדרואיד לטובת המשתמשים שלה.