חוקרי סימנטק חושפים כשל בניהול קבצי מדיה בתוכנות מסרים
עמי רוחקס דומבה
| 15/07/2019
שני חוקרים ישראלים מצוות SEP של סימנטק (לשעבר SkyCure) חשפו כשל בניהול קבצי מדיה בתוכנות מסרים כמו ווטסאפ וטלגרם. "אם הפגם מנוצל, תוקף זדוני עלול לעשות שימוש לרעה ולטפל במידע רגיש כגון תמונות וסרטונים אישיים, מסמכים ארגוניים, חשבוניות ותזכירים קוליים. התוקפים יכולים לנצל את יחסי האמון בין השולח למקבל בעת שימוש ביישומים אלו לצורך רווח אישי או לזרוע הרס", כותבים בפרסום.
"בעוד הצפנה מקצה לקצה היא מנגנון יעיל כדי להבטיח את שלמות התקשורת, זה לא מספיק אם פגיעויות קיימות ברמת היישום. במחקר גילינו כי התוקפים עשויים להיות מסוגלים לתפעל בהצלחה קבצי מדיה על ידי ניצול של פגמים לוגיים ביישומים, המתרחשים לפני ו / או לאחר שהתוכן מוצפן במעבר.
"כאשר חקרנו את הזרימה של האופן שבו קובצי מדיה מטופלים ב- WhatsApp וב- Telegram, מצאנו שבזמן שבין קבלת הקבצים לראשונה להתקן וכתיבה לדיסק (שלב 1), וכאשר הם נטענים לצרכנים באמצעות האפליקציות (שלב 3), ההזדמנות האידיאלית לניצול מתעוררת: תוכנה זדונית יכולה לנתח באופן מיידי ולטפל בקבצים (או פשוט להחליף אותם בקבצים שנבחרו על ידי התוקף) עבור רווח זדוני (שלב 2). אם התוקף רואה את הקבצים ראשון - זה יכול לקרות כמעט בזמן אמת אם תוכנות זדוניות עוקבות אחר שינויים בספריות ציבוריות - נמענים יראו את הקבצים אחרי מניפולציה לפני שהם יראו את המקור (לא יראו כלל את המקור)."
ההתקפה המכונה Media File Jacking מאפשרת לתוקף להחליף קבצים בצד השולח, ולגרום להתקפה בצד המקבל. במידה והמשתמש חושב שהוא העביר קובץ מסוים (נניח PDF) כאשר בפועל התוקף החליף את הPDF בגרסה זדונית, וזו נשלחה לנמען.
"מניפולציה של תשלומים. באחת ההתקפות המזיקות ביותר של קבצי מדיה, שחקן זדוני יכול לתפעל חשבונית שנשלחה על ידי ספק ללקוח, כדי להטעות את הלקוח לבצע תשלום לחשבון לא חוקי", כותבים החוקרים. "זיוף הודעות אודיו. בתרחיש זה, תוקף מנצל את יחסי האמון בין העובדים בארגון. המנכ"ל שולח למנהל הכספים שלו הודעת שמע, באמצעות ווטסאפ, המבקשת שקפים מעודכנים לישיבת מועצת המנהלים בשבוע הבא. התוקף, באמצעות שחזור קול באמצעות טכנולוגיית למידה עמוקה - דבר שהופך להיות יותר ויותר ריאלי כיום - משנה את קובץ השמע המקורי כדי לתקשר עם סמנכ "ל הכספים, בקולו של המנכ"ל עצמו, כדי להעביר תשלום מיד לחשבון בשליטתו."
הבעיה, כפי שמוצגת במאמר, היא מתן הרשאות על ידי המשתמש לפונקציה בשם WRITE_EXTERNAL_STORAGE המאפשרת כתיבה וקריאה של הזיכרון החיצוני. לפי החוקרים, ישנן כמליון יישומים כאלו בחנות של גוגל (Google Play) הכוללים פונקציה זו.
שני חוקרים ישראלים מצוות SEP של סימנטק (לשעבר SkyCure) חשפו כשל בניהול קבצי מדיה בתוכנות מסרים כמו ווטסאפ וטלגרם. "אם הפגם מנוצל, תוקף זדוני עלול לעשות שימוש לרעה ולטפל במידע רגיש כגון תמונות וסרטונים אישיים, מסמכים ארגוניים, חשבוניות ותזכירים קוליים. התוקפים יכולים לנצל את יחסי האמון בין השולח למקבל בעת שימוש ביישומים אלו לצורך רווח אישי או לזרוע הרס", כותבים בפרסום.
"בעוד הצפנה מקצה לקצה היא מנגנון יעיל כדי להבטיח את שלמות התקשורת, זה לא מספיק אם פגיעויות קיימות ברמת היישום. במחקר גילינו כי התוקפים עשויים להיות מסוגלים לתפעל בהצלחה קבצי מדיה על ידי ניצול של פגמים לוגיים ביישומים, המתרחשים לפני ו / או לאחר שהתוכן מוצפן במעבר.
"כאשר חקרנו את הזרימה של האופן שבו קובצי מדיה מטופלים ב- WhatsApp וב- Telegram, מצאנו שבזמן שבין קבלת הקבצים לראשונה להתקן וכתיבה לדיסק (שלב 1), וכאשר הם נטענים לצרכנים באמצעות האפליקציות (שלב 3), ההזדמנות האידיאלית לניצול מתעוררת: תוכנה זדונית יכולה לנתח באופן מיידי ולטפל בקבצים (או פשוט להחליף אותם בקבצים שנבחרו על ידי התוקף) עבור רווח זדוני (שלב 2). אם התוקף רואה את הקבצים ראשון - זה יכול לקרות כמעט בזמן אמת אם תוכנות זדוניות עוקבות אחר שינויים בספריות ציבוריות - נמענים יראו את הקבצים אחרי מניפולציה לפני שהם יראו את המקור (לא יראו כלל את המקור)."
ההתקפה המכונה Media File Jacking מאפשרת לתוקף להחליף קבצים בצד השולח, ולגרום להתקפה בצד המקבל. במידה והמשתמש חושב שהוא העביר קובץ מסוים (נניח PDF) כאשר בפועל התוקף החליף את הPDF בגרסה זדונית, וזו נשלחה לנמען.
"מניפולציה של תשלומים. באחת ההתקפות המזיקות ביותר של קבצי מדיה, שחקן זדוני יכול לתפעל חשבונית שנשלחה על ידי ספק ללקוח, כדי להטעות את הלקוח לבצע תשלום לחשבון לא חוקי", כותבים החוקרים. "זיוף הודעות אודיו. בתרחיש זה, תוקף מנצל את יחסי האמון בין העובדים בארגון. המנכ"ל שולח למנהל הכספים שלו הודעת שמע, באמצעות ווטסאפ, המבקשת שקפים מעודכנים לישיבת מועצת המנהלים בשבוע הבא. התוקף, באמצעות שחזור קול באמצעות טכנולוגיית למידה עמוקה - דבר שהופך להיות יותר ויותר ריאלי כיום - משנה את קובץ השמע המקורי כדי לתקשר עם סמנכ "ל הכספים, בקולו של המנכ"ל עצמו, כדי להעביר תשלום מיד לחשבון בשליטתו."
הבעיה, כפי שמוצגת במאמר, היא מתן הרשאות על ידי המשתמש לפונקציה בשם WRITE_EXTERNAL_STORAGE המאפשרת כתיבה וקריאה של הזיכרון החיצוני. לפי החוקרים, ישנן כמליון יישומים כאלו בחנות של גוגל (Google Play) הכוללים פונקציה זו.
