נמצאה פרצת אבטחה חמורה במכשירים מבוססי אנדרואיד
צ'קמרקס הישראלית חשפה פרצה באפליקציית המצלמה במכשירי גוגל, סמסונג ואחרים. פוטנציאל הפגיעה – מיליוני בני אדם. "זו כנראה הפרצה הגדולה ביותר שמצאנו עד היום מבחינת העומק והמשמעות", אומרים בחברה
עמי רוחקס דומבה
| 20/11/2019
אילוסטרציה: Bigstock
חברת הסייבר הישראלית צ'קמרקס (Checkmarx) חושפת פרצת אבטחה חמורה באפליקציית המצלמה בטלפונים של גוגל, סמסונג וכנראה גם מכשירים נוספים מבוססי אנדרואיד. בגוגל וסמסונג סיווגו את הפרצה כחמורה בדרגה גבוהה ובעקבות פניית צ'קמרקס, פרסמו תיקון לפרצה.
ביטחון בכל מקום: בואו לעקוב אחרינו באינסטגרם, בפייסבוק ובטוויטר
החוקרים מצאו כי על ידי מניפולציה של פעולות ותוספות מסוימות בחבילת האפליקציות של מצלמת גוגל, האקרים יכולים להשתלט על אפליקציית המצלמה ולהקליט סרטונים או לצלם תמונות באמצעות אפליקציה זדונית, שאין לה הרשאות לעשות זאת. בנוסף, האפליקציה הזדונית יכולה לגשת למיקום ה-GPS של הטלפון המוטבע בתמונות וגם למיקומים של תמונות שצולמו מהמכשיר בעבר.
ניצול הפרצה כולל הקלטה וצילום המשתמש שמתאפשרים גם כאשר הטלפון נעול, במסך כבוי, או כשהמשתמש נמצא במהלך שיחה. חוקרי צ'קמרקס מצאו גם כי אותן נקודות תורפה משפיעות על אפליקציות המצלמה של יצרני סמארטפונים אחרים מבוססי אנדרואיד, כמו סמסונג, מה שמביא את היקף ההשפעה הפוטנציאלי למאות מיליוני משתמשים.
ארז ילון. צילום: יח"צ
לדברי ארז ילון, מנהל מחקר אבטחת המידע בחברת צ'קמרקס, "זו כנראה הפרצה הגדולה ביותר שמצאנו עד היום מבחינת העומק והמשמעות. מדובר בניצול לרעה של אפליקציית המצלמה, כיוון שהיא לא אמורה לאפשר לאפליקציה חיצונית לעקוף הרשאות ולשלוט בה באופן מלא. חשוב להדגיש שיש להתקין כל הזמן את עדכוני התוכנה של היצרניות".
הדו"ח המלא ולינק לבלוג המלא - כאן
צ'קמרקס הישראלית חשפה פרצה באפליקציית המצלמה במכשירי גוגל, סמסונג ואחרים. פוטנציאל הפגיעה – מיליוני בני אדם. "זו כנראה הפרצה הגדולה ביותר שמצאנו עד היום מבחינת העומק והמשמעות", אומרים בחברה
אילוסטרציה: Bigstock
חברת הסייבר הישראלית צ'קמרקס (Checkmarx) חושפת פרצת אבטחה חמורה באפליקציית המצלמה בטלפונים של גוגל, סמסונג וכנראה גם מכשירים נוספים מבוססי אנדרואיד. בגוגל וסמסונג סיווגו את הפרצה כחמורה בדרגה גבוהה ובעקבות פניית צ'קמרקס, פרסמו תיקון לפרצה.
ביטחון בכל מקום: בואו לעקוב אחרינו באינסטגרם, בפייסבוק ובטוויטר
החוקרים מצאו כי על ידי מניפולציה של פעולות ותוספות מסוימות בחבילת האפליקציות של מצלמת גוגל, האקרים יכולים להשתלט על אפליקציית המצלמה ולהקליט סרטונים או לצלם תמונות באמצעות אפליקציה זדונית, שאין לה הרשאות לעשות זאת. בנוסף, האפליקציה הזדונית יכולה לגשת למיקום ה-GPS של הטלפון המוטבע בתמונות וגם למיקומים של תמונות שצולמו מהמכשיר בעבר.
ניצול הפרצה כולל הקלטה וצילום המשתמש שמתאפשרים גם כאשר הטלפון נעול, במסך כבוי, או כשהמשתמש נמצא במהלך שיחה. חוקרי צ'קמרקס מצאו גם כי אותן נקודות תורפה משפיעות על אפליקציות המצלמה של יצרני סמארטפונים אחרים מבוססי אנדרואיד, כמו סמסונג, מה שמביא את היקף ההשפעה הפוטנציאלי למאות מיליוני משתמשים.
ארז ילון. צילום: יח"צ
לדברי ארז ילון, מנהל מחקר אבטחת המידע בחברת צ'קמרקס, "זו כנראה הפרצה הגדולה ביותר שמצאנו עד היום מבחינת העומק והמשמעות. מדובר בניצול לרעה של אפליקציית המצלמה, כיוון שהיא לא אמורה לאפשר לאפליקציה חיצונית לעקוף הרשאות ולשלוט בה באופן מלא. חשוב להדגיש שיש להתקין כל הזמן את עדכוני התוכנה של היצרניות".
הדו"ח המלא ולינק לבלוג המלא - כאן
