פרצת אבטחה בסמארטפונים של סמסונג וגוגל
הפרצה שהתגלתה על-ידי חברת צ'קמרקס הישראלית אפשרה להאקרים לצלם ולהקליט ללא ידיעת בעל הסמארטפון, להוריד תמונות וגם לגלות היכן נמצא המכשיר. בעקבות גילוי הפרצה הוציאו החברות עדכוני תוכנה
חברת סמסונג ביקשה לעכב חשיפת מידע על פרצת אבטחה חמורה, שנמצאה באפליקציית המצלמה של טלפונים מתוצרתה, עד לסיום הפצת העידכון המתקן את הפרצה. היום (ג') מסרה חברת הגנת הסייבר הישראלית צ'קמרקס (Checkmarx), כי בחודש יולי השנה זיהתה את פרצת האבטחה בטלפונים מסוג פיקסל 2 ופיקסל 3 של גוגל. לאחר מכן נמצאה אותה פרצה גם בטלפונים של סמסונג ומכשירי אנדרואיד של חברות נוספות.
חוקרי צ'קמרקס מצאו כי הפרצה מאפשרת להאקרים להשתלט על אפליקציית המצלמה מבלי לקבל הרשאות כלל, וכך לצלם תמונות ולהקליט וידיאו ואודיו. כמו כן, ניתן היה לגשת לתמונות שצולמו בטלפון ולאתר את מיקומו הגיאוגרפי של הטלפון. הפרצה איפשרה גישה לכל המידע גם כאשר מסך הטלפון כבוי, או כאשר בעל הטלפון מנהל שיחה, מבלי שיבחין בכך כלל.
גוגל למדה על הפרצה מפנייתם של חוקרי צ'קמרקס. היא שיתפה את המידע עם יצרניות טלפונים נוספות וכך מצאה גם סמסונג שהפרצה קיימת באפליקציה שלה. כאמור, כל החברות הפיצו בינתיים עדכון לאפליקציה ותיקנו את הפרצה.
ארז ילון, מנהל מחקר אבטחת המידע בחברת צ'קמרקס, אומר כי הפרצה התגלתה במהלך בדיקות שגרתיות שהחברה מבצעת במערכות תוכנה מסוגים שונים: "במקרה הזה החלטנו ללכת על שמות גדולים כמו גוגל, כי אנחנו מאמינים שאת הטעיות שהגדולים עושים, גם הקטנים יעשו".
לדבריו, הפרצה שנמצאה הייתה קלה לניצול: "אמנם היינו צריכים להיות יצירתיים כדי לייצר את מכלול ההתקפות שעשינו - גם לגנוב תמונות, גם להקליט קול גם להקליט וידיאו, גם להוציא מיקום גיאוגרפי – אבל אלה לא היו מניפולציות מורכבות".
האם האקרים הספיקו לעשות שימוש לרעה בפרצה לפני שהתגלתה?
"לא ידוע לנו על שימושים כאלה. אנחנו מקווים שאף אחד לא ניצל את זה לפנינו. זו כנראה הפרצה הגדולה ביותר שמצאנו עד היום מבחינת העומק והמשמעות. אם לא היינו חברת אבטחת מידע הגנתית אלא התקפתית, כנראה שהיינו יכולים לעשות מזה הרבה כסף, אבל אנחנו עוזרים להגן. אנחנו מהצד של הטובים. כשאנחנו מוצאים משהו, אנחנו עובדים ביחד עם החברות כדי לעזור להם לתקן אותו כמה שיותר מהר".
יכול להיות שיש עוד פרצות כאלה בטלפונים שלנו, שאנחנו לא מודעים להן?
"אני מאמין שיש עוד פרצות. אנחנו כל הזמן מחפשים, בהרבה תחומים ואצל כל מיני חברות. אי אפשר להגיע ל-100% אבטחה באף מצב. אבל מה שהופך את גוגל וסמסונג לטובות, זה הטיפול המהיר וההתנהלות המקצועית מולן. אנחנו לא מצפים מחברות להוציא תוכנה עם אפס שגיאות, אבל כן מצפים מהן לקחת אחריות ולטפל בזה כמה שיותר מהר".
לא היה עדיף לפרסם את הפרצה ברגע שהתגלתה, כדי להזהיר את הציבור?
"אנחנו לא רוצים לסכן אף אחד, זה נכון שהיינו מגיעים כנראה למצב שיווקי טוב יותר אם היינו מפרסמים את זה לפני כמה חודשים, אבל המטרה שלנו היא לאפשר לחברות להוציא את התיקונים ואנחנו מפרסמים רק כשהן נותנות לנו אור ירוק. מטרת הפרסום היא שאנשים יידעו שהטלפון שלנו שאנחנו יודעים שהוא לא בטוח ותמיד יש חשש שמישהו מקליט, שלא מדובר רק בגוגל וסמסונג ואפל שמקשיבים לנו, אלא שלפעמים גם האקר שמצא פרצה, ולכן חשוב לעדכן את האפליקציות באופן קבוע".