לאחר תקופה יחסית שקטה בגזרת פרצות האבטחה, אנחנו שוב מגלים כי גם בחברה גדולה ורצינית כמו גוגל אפשר לעשות טעויות ולהשאיר חורים פתוחים מידי פעם. בלוגר בשם זימון סידור (Szymon Sidor), בעל בלוג האבטחה Snacks for your mind הציג חור אבטחה שלטענתו, מאפשר לאפליקציות לגשת למצלמת המכשיר בכדי לצלם תמונות וסרטוני וידאו, מבלי שהמשתמש ידע מה קורה בכלל. חשוב לציין כי גוגל עושה עבודה מצוינת לאחרונה בחיסול אפליקציות זדוניות מחנות ה-Play שלה – על פי דוח של חברת האבטחה F-Secure פחות מ-0.1 אחוזים מהאפליקציות בחנות מכילות קוד זדוני, אך עדיין ישנן חנויות צד-שלישי ואתרי "אפליקציות חינמיות" שונים שמכילים בדרך כלל, אפליקציות בעלות קוד זדוני כלשהו.
פיקסל אחד שעושה הרבה כאב ראש
החוקר מצא כי יצירת אפליקציה פשוטה, המנצלת פרצת אבטחה מהותית במערכת ההפעלה מאפשרת לו ללכוד תמונות ולהקליט סרטוני וידאו באמצעות המצלמה ולהעלות אותם לשרת, מבלי שהמשתמש ידע על כך. סידור סיפר כי הוא הבחין ביישומים רבים המסוגלים לצלם תמונות בחשאי, אך כל אחד מהם דרש אינדיקציה גלויה על המסך בכדי לפעול. בהתאם לכך, הוא התחיל לנסות לראות האם יש דרך לבצע את אותה הפעולה, ללא אינדיקציה הנראית לעין. לאחר מספר ניסיונות, הוא בנה אפליקציה העומדת בכל הדרישות הללו, אך מנצלת שטח של 1×1 פיקסלים בלבד על המסך ולכן נסתרת לחלוטין מעין המשתמש. האפליקציה מסוגלת גם ללכוד פרטים אחרים מהמכשיר, כגון רמת הסוללה ואפילו את מיקום המכשיר.
עוד ב-Geektime:
- הכירו את ooVoo: הישראלית שמעניקה פייט למיקרוסופט ולגוגל
- אסטרונאוטים, הכינו את הטורנטים: האינטרנט המהיר מגיע לירח
איך מתגוננים?
״אני ממש אוהב את ה-SDK (ערכת פיתוח תוכנה) של אנדרואיד, היא נותנת למפתחים הרבה כוח ויש מספר דברים אפשריים באנדרואיד שפשוט יהיו בלתי אפשריים בפלטפורמות אחרות.״ לאחר שפירט בפוסט את סדר הפעולות אותן ביצע עד שהגיע לדרך המנצלת באופן מלא את פירצת האבטחה, הוא גם הסביר כיצד ניתן להתגונן כנגד אפליקציות כאלו. ״שימו לב להרשאות האפליקציות אותן אתם מתקינים (לדוגמא, האם אפליקציה בשם Simple Notepad באמת זקוקה לגישה למצלמת המכשיר?), שמרו על חשבון הגוגל שלכם – כך שלאף אחד לא תהיה גישה להתקין אפליקציות על הסמארטפון שלכם מרחוק, מבלי שאתם מאשרים את זה.
הגדירו אימות דו-שלבי, שנו את סיסמתכם מעת לעת. בנוסף, הסתכלו על היישומים שפועלים ברקע ובדקו אם נמצאים שם יישומים חשודים (שוב, אין סיבה ש-Simple Notepad תפעל ברקע). לבסוף, היו ערים לאפליקציות הצורכות סוללה ודאטה באופן משמעותי".