חברת הסייבר הישראלית Checkmarx חשפה פרצת אבטחה חמורה בסמארטפונים המבוססים על מערכת ההפעלה אנדרואיד של גוגל. הפרצה נוגעת לאפליקציית המצלמה, וניצול שלה יאפשר להאקרים לגשת אליה ללא הרשאה דרך אפליקציה זדונית ולצלם תמונות וסרטונים ללא ידיעת המשתמשים.
הקלטת הווידאו וצילום התמונות יכולים להיעשות אפילו בזמן שיחת טלפון, מה שלמעשה יאפשר להאקרים להקליט את שני הצדדים בשיחה, ואפילו בזמן שהמסך של המכשיר כבוי או שהטלפון נעול. בנוסף, הפרצה מאפשרת לגשת למיקום הטלפון, מאחר שמידע זה נשמר עם התמונות, ואף לגשת למיקומים של תמונות שצולמו בעבר במכשיר.
על-מנת להוכיח את קיום הפרצה, חברת צ'קמרקס פיתחה אפליקציית מזג-אוויר מזויפת, דרכה הצליחו לגשת לאפליקציית המצלמה ולהפעיל אותה ללא הרשאות. הבדיקה נעשתה במכשירי פיקסל של גוגל, והחברה הודיעה לגוגל על קיום הפרצה. גוגל אישרה כי הפרצה קיימת גם בסמסונג וביצרניות נוספות שמכשיריהם מתבססים על אנדרואיד.
בשל הפופולריות של מערכת ההפעלה, המשמעות היא שמאות מיליוני משתמשים היו עשויים להיות חשופים לפרצה. גוגל השיקה תיקון לפרצה בעקבות פניית החברה.
גוגל הצהירה כי "אנחנו מעריכים את זה שצ'קמרקס הביאו את המידע לידיעתנו ועבדו בתיאום איתנו ועם השותפים למערכת ההפעלה אנדרואיד. טיפלנו בסוגיה במכשירי גוגל שהושפעו ממנה דרך עדכון של חנות האפליקציות פליי סטור הנוגע לאפליקציית המצלמה של גוגל ביולי 2019, ועדכון לטיפול בסוגיה זמין גם לכל השותפים שלנו".
לדברי ארז ילון, מנהל מחקר אבטחת המידע בחברת צ'קמרקס, "זו כנראה הפרצה הגדולה ביותר שמצאנו עד היום מבחינת העומק והמשמעות. אפליקציית המצלמה לא אמורה לאפשר לאפליקציה חיצונית לעקוף הרשאות ולשלוט בה באופן מלא. חשוב להדגיש כי יש להתקין כל הזמן את עדכוני התוכנה של היצרניות".
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.
כתבות
ני"ע
