לְעַדְכֵּן:יום שלישי, 28 ביולי, 17:55 ET: בעקבות הדיווח הראשוני שלנו, דובר גוגל הוסיף קצת יותר פרטים על אילו מכשירי אנדרואיד עשויים להיות מושפעים, כמו גם ההשלכות הכוללות של הניצול.
"הפגיעות הזו זוהתה במסגרת מעבדה במכשירי אנדרואיד ישנים יותר, וככל הידוע לנו אף אחד לא נפגע. ברגע שנודע לנו על הפגיעות נקטנו פעולה מיידית ושלחנו תיקון לשותפים שלנו כדי להגן על משתמשים", אמר דובר גוגל ל-Mashable.
"כחלק מעדכון אבטחה קבוע, אנו מתכננים לדחוף אמצעי הגנה נוספים למכשירי Nexus החל מהשבוע הבא. וכן, נפרסם אותו בקוד פתוח כאשר הפרטים יפורסמו על ידי החוקר ב-Black Hat."
ליקוי אבטחה גדול במכשירי אנדרואיד מסוימים ידרוש רק מהתוקף את מספר הטלפון הסלולרי שלך, לפי חברת מחקרי האבטחה Zimperium.
הפגם כרוך בביצוע קוד מרחוק שניתן ליזום על ידי שליחת הודעת טקסט למשתמש היעד של סמארטפון אנדרואיד. הפגיעות, המכוונת למערכת השמעת מדיה בשם Stagefright, עלולה להשפיע על כ-950 מיליון מכשירים, כך מזהיר הדו"ח של החברה. "בניגוד ל-Spar-Pishing, שבו הקורבן צריך לפתוח קובץ PDF או קישור שנשלח על ידי התוקף, פגיעות זו יכולה להיות מופעלת בזמן שאתה ישן", נכתב.
[seealso slug="snowden-documents-android-app-stores"]
השם המפחיד של הניצול נגזר למעשה ממנוע השמעת המדיה (המוקד של הניצול) ברמה המקורית של אנדרואיד, הנקראת "סטייג'רייט."
"התוקפים צריכים רק את מספר הנייד שלך", של זימפריוםדו"ח אבטחהאמר ביום שני. "באמצעות [זה] הם יכולים לבצע מרחוק קוד באמצעות קובץ מדיה בעל מבנה מיוחד המועבר באמצעות MMS."
מטריד עוד יותר, החברה טוענת שניתן למחוק את ההודעה עוד לפני שהמשתמש יספיק לקרוא אותה - ללא שום דבר מלבד הודעה שתופיע במכשיר.
"לפני שאתה מתעורר, התוקף יסיר כל סימן של פגיעה במכשיר ואתה תמשיך את היום שלך כרגיל - עם טלפון טרויאני", מזהיר הדו"ח.
החברה טוענת כי מכשירי אנדרואיד המשתמשים בגרסאות שקדמו לשחרור Jelly Bean - Froyo, Gingerbread ו-Ice Cream Sandwich, אשר ביחד משמשים כיום כ-11% ממשתמשי אנדרואיד - נמצאים בסיכון הגבוה ביותר. אבל אפילו טלפונים מעודכנים לא מקבלים חשבון בריאות נקי.
תיקון אבטחה לניצול הוגש לגוגל עוד באפריל, לדברי מייסד Zimperium ו-CTO Zuk Abraham. "בעיית האבטחה עלולה לאפשר לתוקף להשיג שליטה מלאה במכשיר", אמר אברהם ל-Mashable.
צילומי מסך שצולמו על Nexus 5 (ראש פטיש) המריץ את הגרסה העדכנית ביותר, Android Lollipop 5.1.1. קרדיט: צילום מסך של Zimperium
ברגע שלתוקפים יש שליטה במכשיר האנדרואיד, לדברי אברהם, הם יכולים לבצע מספר פונקציות - כולל הפעלת המיקרופון של המכשיר והקלטת אודיו, צילום והורדה של תמונות בטלפון, קריאת מיילים והודעות פייסבוק ואפילו ניתוב מחדש של שיחות טלפון .
"אנו מודים [חבר צוות המחקר של Zimperium] לג'ושוע דרייק על תרומתו", אמר דובר גוגל ל-Mashable. "האבטחה של משתמשי אנדרואיד חשובה לנו ביותר ולכן הגבנו במהירות וכבר סופקו תיקונים לשותפים שניתן להחיל על כל מכשיר".
אברהם אומר מספרדְמוּי אָדָםהשותפים איחרו להחיל את העדכון. ובכל זאת, נראה שגוגל לא רואה את הניצול כדאגה גדולה בשלב זה.
"לרוב מכשירי האנדרואיד, כולל כל המכשירים החדשים יותר, יש מספר טכנולוגיות שנועדו להקשות על הניצול", אמר דובר גוגל. "מכשירי אנדרואיד כוללים גם ארגז חול של אפליקציות שנועד להגן על נתוני משתמשים ויישומים אחרים במכשיר."
אברהם אומר שהחברה שלו לא ראתה ביצועים של הקוד הזדוני בבסיס הלקוחות שלה, אבל ציין שזה לא אומר שלא נעשה בו שימוש במקומות אחרים.
דרייק יציג את ממצאיו בכנס Black Hat USAבאוגוסט, ועשויים להדגים כיצד פועל הניצול במהלך האירוע.
