הכל לא טוב בפניםGoogle Play.
קבוצה של חוקרים קבעה כי למאות אפליקציות בחנות יש חור אבטחה פעור שעלול לאפשר להאקרים להשתיל תוכנות זדוניות ולגנוב נתונים ממיליוני סמארטפונים אנדרואיד.
לפי עיתוןתוך פירוט הפגם לכאורה, הבעיה נעוצה באפליקציות היוצרות יציאות פתוחות בטלפונים סלולריים. זוהי בעיה ידועה ומובנת במחשבים, אך טרם נחקרה באופן שיטתי בסמארטפונים. צוות אוניברסיטת מישיגן השתמש בכלי מותאם אישית כדי לסרוק 24,000 אפליקציות ומצא 410 יישומים שעלולים להיות פגיעים - שלפחות אחד מהם הורד מיליוני פעמים.
"המנצלים החדשים שהתגלו יכולים להוביל למספר רב של הפרות אבטחה ופרטיות חמורות", מסבירים בקבוצה. "למשל גניבת נתונים רגישים מרחוק כמו אנשי קשר, תמונות ואפילו אישורי אבטחה וביצוע פעולות זדוניות כמו ביצוע קוד שרירותי והתקנת תוכנות זדוניות מרחוק".
נראה שהבעיה העיקרית היא באפליקציות כמוהעברת קבצים ב-WiFi, המאפשר למשתמשים להתחבר ליציאה בטלפון שלהם באמצעות Wi-Fi ולגשת לתוכן שלו. האפליקציות מקלות על העברת קבצים מטלפון למחשב, אך בגלל אבטחה לא מספקת, היכולת לעשות זאת אינה מוגבלת, ככל הנראה, לבעל המכשיר בלבד.
מהירות אור ניתנת לריסוק
WiFi העברת קבצים הותקן בין10 מיליון ו-50 מיליון פעמים, כלומר בעיה זו אינה רק תיאורטית - עובדה שהחוקרים מאוניברסיטת מישיגן לא היו צריכים להסתכל רחוק כדי לאשר.
"כדי לקבל הערכה ראשונית על ההשפעה של פגיעויות אלה בטבע, ביצענו סריקת יציאות ברשת הקמפוס שלנו, ומיד מצאנו מספר מכשירים ניידים תוך 2 דקות שעשויים להשתמש באפליקציות הפגיעות הללו".
החוקרים אישרו ידנית כי 57 מתוך 410 האפליקציות אכן היו פגיעות, והדגימו התקפות שונותבסדרת סרטוניםמראה כיצד "האפליקציה פותחת יציאות כברירת מחדל ולא מופעלות אימות לקוח או הודעות חיבור נכנסות, מה שמעמיד את משתמש המכשיר בסכנה חמורה."
נראה שהאפליקציות משאירות את דלת אסם האבטחה פתוחה לרווחה, במילים אחרות, ושחקנים זדוניים יכולים לטייל ישירות פנימה.
פנינו לגוגל לתגובה, אך לא קיבלנו תגובה עד לפרסום.
החדשות הטובות הן שיש פתרון קל אם יש לך אחד מהיישומים העלולים להיות פגיעים: הסר את ההתקנה שלו. למרבה הצער, אלא אם הבעיה תטופל באופן שיטתי, מדובר בפגיעות שתלווה אותנו עוד הרבה זמן.
