חברה ישראלית חשפה פרצה באנדרואיד שאפשרה לצלם תמונות ללא רשות ולגשת למיקום המכשיר

חברת Checkmarx חשפה פרצת אבטחה בסמארטפונים עם מערכת ההפעלה אנדרואיד של גוגל • הפרצה נוגעת לאפליקציית המצלמה, וניצול שלה יאפשר להאקרים לגשת אליה ללא הרשאה דרך אפליקציה זדונית ולצלם תמונות וסרטונים ללא ידיעת המשתמשים

מכשיר אנדרואיד / צילום: שאטרסטוק
מכשיר אנדרואיד / צילום: שאטרסטוק

חברת הסייבר הישראלית Checkmarx חשפה פרצת אבטחה חמורה בסמארטפונים המבוססים על מערכת ההפעלה אנדרואיד של גוגל. הפרצה נוגעת לאפליקציית המצלמה, וניצול שלה יאפשר להאקרים לגשת אליה ללא הרשאה דרך אפליקציה זדונית ולצלם תמונות וסרטונים ללא ידיעת המשתמשים.

הקלטת הווידאו וצילום התמונות יכולים להיעשות אפילו בזמן שיחת טלפון, מה שלמעשה יאפשר להאקרים להקליט את שני הצדדים בשיחה, ואפילו בזמן שהמסך של המכשיר כבוי או שהטלפון נעול. בנוסף, הפרצה מאפשרת לגשת למיקום הטלפון, מאחר שמידע זה נשמר עם התמונות, ואף לגשת למיקומים של תמונות שצולמו בעבר במכשיר.

על-מנת להוכיח את קיום הפרצה, חברת צ'קמרקס פיתחה אפליקציית מזג-אוויר מזויפת, דרכה הצליחו לגשת לאפליקציית המצלמה ולהפעיל אותה ללא הרשאות. הבדיקה נעשתה במכשירי פיקסל של גוגל, והחברה הודיעה לגוגל על קיום הפרצה. גוגל אישרה כי הפרצה קיימת גם בסמסונג וביצרניות נוספות שמכשיריהם מתבססים על אנדרואיד.

בשל הפופולריות של מערכת ההפעלה, המשמעות היא שמאות מיליוני משתמשים היו עשויים להיות חשופים לפרצה. גוגל השיקה תיקון לפרצה בעקבות פניית החברה.

גוגל הצהירה כי "אנחנו מעריכים את זה שצ'קמרקס הביאו את המידע לידיעתנו ועבדו בתיאום איתנו ועם השותפים למערכת ההפעלה אנדרואיד. טיפלנו בסוגיה במכשירי גוגל שהושפעו ממנה דרך עדכון של חנות האפליקציות פליי סטור הנוגע לאפליקציית המצלמה של גוגל ביולי 2019, ועדכון לטיפול בסוגיה זמין גם לכל השותפים שלנו".

לדברי ארז ילון, מנהל מחקר אבטחת המידע בחברת צ'קמרקס, "זו כנראה הפרצה הגדולה ביותר שמצאנו עד היום מבחינת העומק והמשמעות. אפליקציית המצלמה לא אמורה לאפשר לאפליקציה חיצונית לעקוף הרשאות ולשלוט בה באופן מלא. חשוב להדגיש כי יש להתקין כל הזמן את עדכוני התוכנה של היצרניות". 

רוצה להשאר מעודכן/ת בנושא גלובס טק?
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988