קל מאד לפרוץ לסמארטפון

עם מליוני סמארטפונים הנמכרים מידי שנה בעולם, הופך הטלפון החכם להיות מוצר צריכה שכיח. אך האם כל מי שמחזיק בידו אייפון או גלקסי מודע לסכנות האורבות לו? האקר ישראלי בשם 'צוק' חושב שהגיע הזמן לשים את הדברים על השולחן

יצחק אברהם ("צוק")

חיינו היום תלויים בטלפון נייד שנמצא בכל מקום. אצל חלקנו מצטרף לתמונה גם מחשב הטאבלט. אנחנו נושאים אותם עמנו לכל מקום וחשים אבודים בלעדיהם, אך רובינו נהנים מהאושר הטמון בכך ואיננו מודעים לרמת הסיכון הגבוהה והאיום שההתקנים הללו מהווים על הפרטיות, הנתונים והביטחון הכללי שלנו. כאשר מדובר בארגונים, הסיכונים אף גבוהים יותר כיוון שהאקרים יכולים לפגוע בארגון באמצעות שיבוש השירותים שהוא מספק או באמצעות גישה לנתונים רגישים.

כדי להבין לעומק את הסכנות הטמונות בשימוש בהתקנים ניידים, שוחחתי עם יצחק אברהם ("צוק"), מייסד חברת זימפריום מתל אביב. חברת הסטארט-אפ ייחודית המתמקדת בפיתוח פתרונות אבטחה מקיפים עבור התקנים ניידים. כהאקר מפורסם בעצמו, מצליח צוק "להיכנס לראש" של האקרים פוטנציאליים. הרקורד שלו כולל פרסום מחקר על בעיות אבטחת מידע בטלפונים חכמים וניצול החולשות הקיימות במכשירים מבוססי מעבדים של ARM, הופעה בכנסים יוקרתיים בעולם כמו Black hat ו- DEFCON ויש לו שפע של ניסיון מעשי במציאת נקודות תורפה של טלפונים חכמים. עם צוות ראשוני ומצומצם, פיתחה זימפריום את האמצעי הראשון למניעת חדירה להתקנים ניידים (Mobile IPS) הכולל תכונות של זיהוי ומניעת איומי תקיפה מסוג 0-Day ברמות הגבוהות ביותר.

הפתרון מתוכנן לספק הגנה מפני מתקפות סייבר ממוקדות, תולעים וריגול מקוון ומיועד לארגונים, גופים ממשלתיים וחברות סלולאר. לאחרונה הצטרף להנהלת החברה חוקר האבטחה וההאקר הבין-לאומי קווין מיטניק, שם מוערך מאוד בקהילת אבטחת המידע הבינלאומית.

האם הטלפון החכם שלי נמצא בסיכון היום?

בהחלט. העניין הוא שמרבית האנשים ואפילו הארגונים עדיין אינם מבינים לאשורן את הסכנות. על כן, אחת המטרות המרכזיות שלנו היא להעלות את המודעות לגבי אבטחת התקנים ניידים. קח למשל סוג מתקפה מסוג Zero-Day, כמה משתמשים מכירים אותה?

זו מתקפה המנצלת חולשה או איום קיים עבור מוצר ועדיין לא ידועה ברבים. לעיתים מתפרסמות חולשות עבור מוצרים שונים (כגון טלפונים חכמים) ועד שלא קיים טלאי אבטחה רשמי – החולשה הקיימת נקראת zero-day מכיוון שאין אפשרות להתגונן מפניה. לעיתים קרובות, החולשות הללו יכולות לאפשר להאקרים להשתלט על המכשיר. במידה וגוף כלשהו מעוניין לתקוף אותך וברשותו חולשה מסוג זה, אתה ב-Game over.

מהם האיומים על טלפונים חכמים?

התקפות על טלפונים חכמים שונות מעט בגישה שלהן מתקיפות על מחשבים ולכן יש להתמודד אתן בדרכים שונות. לדוגמה, מחשבים אישיים סובלים מנקודות תורפה בצד של הלקוח ובצד של השרת ומתקיפות מבוססות רשת.

וקטורי התקיפה בטלפונים ניידים דומים, אך קיימות נקודות תורפה נוספות הקשורות לתכונות כמו בלוטות', מסרים מיידים ואפילו ברמת התחקות אחר המפעיל הסלולרי. ההתקנים הניידים גם רגישים יותר לאיומים ומניפולציות ברשת האלחוטית. נכון להיום, נקודות התורפה בצד הלקוח וכאלה הקשורות להורדות של יישומים מהוות איום הרבה יותר משמעותי על הטלפונים החכמים מאשר נקודות התורפה בצד השרת.

האם חדירה לטלפון החכם אטרקטיבית יותר בתחום הריגול המקוון?

המודעות לריגול מקוון הולכת וגדלה עם הגילויים החדשים של תוכנות זדוניות כדוגמת Stuxnet ו-Flame ועם הגילוי של תקיפות כדוגמת "מתקפת Aurora" (על גוגל). יחד עם זאת, החדירה למחשבים אישיים נהייתה קשה יותר עם הזמן ועם ריבוי הגרסאות של מערכות ההפעלה ולכן, התוקפים מחפשים נקודות כניסה נוספות אל הארגון.

הטלפון החכם עם תכונות כמו גישת VPN הוא יעד תקיפה נפלא וישנן תקיפות אקטיביות היום כנגד טלפונים חכמים. החדירה לטלפונים חכמים נהייתה שכיחה ואני סבור שזו רק שאלה של זמן עד שנראה מתקפה כמו Aurora גם על טלפונים חכמים.

כיצד משתמשים בהתקפות ממוקדות בריגול המקוון?

מרבית התוקפים בוחרים בתקיפת הצד של הלקוח. תוקפים מתוחכמים עם תקציבים שמנים יותר ועם יותר ידע, מסוגלים לזייף את תחנת הבסיס של המפעיל (למשל: אורנג'/סלקום) באמצעות ציוד זמין ומשבשי תדרים. וכאשר זה קורה, אין למשתמש שום דרך להגן על עצמו. לפרוץ היום לטלפון נייד זה כנראה אחד הדברים היותר פשוטים לביצוע כיום.

האם תולעים מסוכנות יותר בטלפונים הסלולריים?

כן, בגלל טבעם של ההתקנים הניידים. הם נוסעים ממקום למקום בכל זמן ומאפשרים להתקן ה"נגוע" להדביק התקנים אחרים בקלות, פשוט על-ידי "התעלקות" על המיקום שלהם. תוקף יכול לתכנת תולעת להתפשט באמצעות כמה וכמה וקטורי תקשורת של הטלפון החכם. הנה כמה תרחישים אפשריים: תולעת יכולה לפתוח נקודת גישה אלחוטית ולהדביק כל אחד שמתחבר לאותה נקודת גישה תוך ניצול נקודת התורפה בצד הלקוח. התוקף יכול גם להשתמש במספרי הקשר השמורים בטלפון, בכתובות דואר אלקטרוני וברשתות חברתיות כדי ליצור אינטראקציה עם החברים של המנוי בשמו. פעולה שעלולה לחשוף את המנוי לנקודת תורפה בצד הלקוח או להנדסה חברתית והורדת יישום זדוני.

תולעת יכולה גם לחפש באופן אקטיבי רשתות פתוחות, להתחבר לרשתות כאלה ולתקוף כל התקן שמחובר אליהן. בשילוב עם העובדה שטלפונים חכמים הם ניידים והולכים לכל מקום, התוצאות עלולות להיות הרות אסון. שילוב של כל שלושת הוקטורים המתוארים לעיל יכול ללא ספק להיות "האמא של כל התולעים" – התולעת בעלת שיעור ההתפשטות המהיר ביותר שנוצרה אי פעם.

מהם הסיכונים בטלפון פרוץ?

התקנים פרוצים חושפים את הארגון לכמה וכמה סיכונים. אלה כוללים אובדן של נתוני לקוחות, שיבוש השירות, גניבה של קניין רוחני, סודות מסחריים ושל מידע עסקי רגיש. לרבות תוכניות אסטרטגיות ונתוני תמחור. כל זה יכול כמובן להזיק למוניטין של המותג וייתכן אפילו ריגול עסקי באמצעות המיקרופון והמצלמה של הטלפון החכם. עבור משתמשים פרטיים הסיכונים שונים. בדרך כלל הם כוללים אובדן של חשבונות מדיה חברתית או כתובות דואר אלקטרוני, אובדן של תמונות ונתונים אחרים.

בנוסף, המצלמה של הטלפון עלולה להידלק וטלפון יכול לשמש כחלק מ"צבא" של רשתות בּוֹטנט.

האם ה-iOS של אפל בטוחה יותר מאנדרואיד?

לא. מה שיש לאפל הוא רק שוק יישומים בטוח יותר שנבדק יותר בקפידה. במונחים של אבטחת מידע, שתי הפלטפורמות זקוקות לשיפורים משמעותיים. פריצה ל-iOS הוכחה כאפשרית עם שלושה סוגים של פריצות להתקנים (jailbreaks) עם קוד מרחוק. אחד הסוגים הללו אפילו איפשר הרצת קוד קרנל מרחוק – הפגיעה החמורה ביותר שקיימת במתקפות צד לקוח. כל פריצת jailbreak מנצלת כמה נקודות תורפה והזמן שנדרש כדי לתקן את נקודות התורפה הללו עם טלאים אינו קצר במיוחד.

לכן, אני אומר שאייפונים ואייפדים אינם בטוחים יותר מהתקני אנדרואיד.

אם כך, האם אנדרואיד בטוח יותר מ-iOS?

תצורות מסוימות יכולות להיות בטוחות יותר, אך נכון להיום התשובה היא לא. שתי מערכות ההפעלה פגיעות באותה מידה.

מה זה בדיוק jailbreak?

jailbreak הוא השם שהעניקו פורצי ה-iOS ליכולת לפרוץ התקן ולשנות את תכונותיו. כדי לבצע משימות כאלה עליהם למצוא נקודת תורפה או שרשרת של נקודות תורפה שיאפשרו להם לבצע קוד ברמת הקרנל בהתקן ולפרוץ ולשחרר אותו ממגבלות מערכת ההפעלה. באופן עקרוני, כל jailbreak היא נקודת תורפה קריטית באבטחה של הטלפון. את אותן נקודות תורפה יוכלו התוקפים לנצל ולהשתמש בהן כדי להתקין סוס טרויאני על ההתקן או לפרוץ אותו מרחוק.

שלושה סוגי פריצות מבוססות רשת מוכרים היום לרבים ומאפשרים להאקרים לפרוץ מרחוק להתקני ה-iOS הלא מעודכנים בקלות, כאשר נכנסים לאתר רשת זדוני.

אילו פתרונות קיימים היום כדי לספק אבטחת התקנים ניידים ולסכל מתקפות זדוניות?

השכיחים ביותר היום הם הפתרונות ברמת היישום ותוכנות MDM – תוכנות לניהול התקנים ניידים. פתרונות ברמת היישום כדוגמת תוכנות אנטי וירוס, מגנות מפני תוכנות זדוניות ברמת האפליקציה. כלומר, אם מורידים משחק מזויף עם כוונות זדוניות, תוכנית אנטי וירוס תוכל לאתר זאת ולמנוע מהיישום לפעול. הגנה כזו הופכת את ההתקן לבטוח יותר אך אנו מדברים על הגנה רק מפני וקטור תקיפה אפשרי אחד.

וקטורים נוספים כמו מתקפות מבוססות תחנת בסיס אינם תחום ההתמקדות עבור מרבית המוצרים. תוקף ששואף להתקין את התוכנה הזדונית שלו על כמה שיותר התקנים, ינסה לייצר יישום מתוך תקווה שאנשי רבים יורידו אותו בצורה כזו שתגרום להתפשטות האיום. אני משתדל שלא להתקין יישומים שלא קיבלו בסיס משתמשים נרחב וזה מנמיך את הסיכויים להדבקת הטלפון שלי. אך מה שמפחיד יותר היא התפשטות האיומים של תולעים.

ישנם איומים נוספים שהפתרונות הקיימים אינם מכסים. אני בספק אם APT (מתקפת סייבר ממוקדת) תחכה שמישהו יוריד את היישום שלהם – במיוחד כאשר לארגונים היום יש פתרונות MDM עם "רשימה שחורה/רשימה לבנה" לאפליקציות מורשות. סביר יותר להניח שהתוקפים יבחרו להשתמש בשיטות אחרות ולתקוף דרכי כניסה אחרות כגון הודעות טקסט, תקיפות מבוססות רשת ואפילו ניצול של נקודות תורפה בצד של הלקוח. בעיות שלא מקבלות ייחוס בפתרונות האבטחה הקיימים – אך דרגת הסכנה שלהם גבוהה בהרבה.

האם מערכת ה-MDM מספקת פתרונות אבטחה מפני תקיפות ממוקדות או איומים שכיחים?

מערכת MDM היא קונסולה לניהול התקנים ניידים המאפשרת לנהל את ההתקנים הניידים של הארגון. מוצרי MDM קיימים מאפשרים מגוון רחב של פתרונות עבור ניהול הטלפונים בארגון, כגון: מחיקה מרוחקת של מידע במידה והמכשיר אבד, איתור מרוחק של המכשיר הנייד וגישת VPN לארגון. קיימים מוצרי MDM שמספקים אבטחה מפני סוגים מוגבלים של תקיפות, אך זהו לא פתרון אבטחה.

תקיפות ממוקדות יכולות לעקוף בקלות את ה"ההגבלות" שמציבה MDM. בנוסף, יש לזכור כי המטרה המקורית של ה-MDM היא לנהל את ההתקנים, לא לספק הגנה על המכשירים הניידים. לכן, התשובה לשאלה היא לא. במידה מסוימת עלולה מערכת ה-MDM אף להזיק לאבטחת הארגון כיוון שהיא מעודדת הוספה של פתרונות VPN על אף שההתקן עדיין חשוף לליקויי אבטחה קריטיים ביותר. זה פותח פתח לתוקפים להסתנן להתקנים ולמחשבים של עובדים מתוך טלפון חכם פרוץ ומשמעות הדבר שהתוקפים יצליחו ליהנות מגישה אל הרשת הארגונית הפנימית של הארגון.

האם אפשר להימנע מכניסה לאתרי אינטרנט זדוניים?

כאן בדיוק שורש הבעיה. לאחרונה פרסמה מיקרוסופט אזהרה לגבי חורי אבטחה מסוג "יום אפס" (zero-day – CVE-2012-1889) שאומרת כך: "הפרצה יכולה לאפשר ביצוע קוד מרחוק אם משתמש צפה באתר אינטרנט שהוקם במיוחד לשם כך ועשה זאת עם אינטרנט אקספלורר. לתוקף לא תהיה דרך לאלץ משתמשים לבקר באתר אינטרנט כזה. יחד עם זאת, התוקף מנסה לשכנע את המשתמשים לבקר באתר הנגוע, בדרך כלל על-ידי כך שהוא גורם להם ללחוץ על קישור המשובץ בתוך הודעת דואר אלקטרוני או הודעת טקסט. הקישור לוקח אותם בעל כורחם אל אתר האינטרנט של התוקף".

ובכן, חוקרי אבטחה יודעים שזה לא מדויק. תוקף שנמצא על אותה רשת LAN של המשתמש, יכול בקלות לשנות את התעבורה ברשת כדי לכוון מחדש את התנועה באמצעות הכנסת סקריפט לתוך הדפדפן שלו. כך שאפילו אם המשתמש ינסה להיכנס למשל ל-yahoo.com, הדפדפן יראה לו את אותו URL בשעה שלמעשה הוא מריץ את הקוד של התוקף. הטכניקה הזאת יכולה לשמש כדי לפרוץ למחשב או לטלפון. כאשר צוות פריצת iOS מגלה שלוש פרצות לביצוע קוד מרחוק, פירוש הדבר ששלוש פעמים מישהו אולי השתמש בפרצות הללו כדי לפרוץ מרחוק לטלפון, פשוט על-ידי כך שאילץ את המשתמש להיכנס לאתר אינטרנט המכיל את הפרצה או נקודת התורפה הזו. ניצול פרצות מרחוק עבור אנדרואיד או iOS אינו תופעה נדירה במיוחד.

אילו בעיות שכיחות נוספות קיימות עם הטלפונים החכמים?

בעיה שכיחה היא מחזור חייו של ה"טלאי". אדבר על שתי מערכות הפעלה עיקריות: iOS ואנדרואיד. ב-iOS, העדכון המיועד לפרצות jailbreak חדשות לא התייחס לכולן. כתוצאה מכך הפורצים עדיין מסוגלים להשתמש באותן פקודות כדי ליהנות מאותה גישה להרצת הקוד שלהם בהרשאות גבוהות. הפורצים הבאים כבר לא ישתמשו ביישום כדי לפרוץ להתקן.

יחד עם זאת, סביר להניח שהם יריצו התקפה באמצעות הדואר האלקטרוני, הרשת או אפילו תחנת בסיס מזויפת של המפעילה הסלולרית. פירוש הדבר שחשוב לטפל בבעיה בכללותה, על כל היבטיה. אנדרואיד סובלת מבעיות של ריבוי יצרנים ושל טלאים עם מחזור חיים ארוך, רק עכשיו פורסם שכ-93% מהמכשירים עדיין מריצים את הגרסאות 2.3 ומטה, מערכת הפעלה המעודכנת נכון לשנת 2010 בלבד. עדכוני אבטחה מתוקנים על ספרייה ראשית, אך לוקח כשנה-שנתיים עד שהם מגיעים לטלפון ועד אז המשתמשים נותרים חשופים.