פגם חדש שהתגלה במודל האבטחה של גוגל אנדרואיד מאפשר לאפליקציות נוכלות לקבל גישה מלאה למערכת אנדרואיד ולכל האפליקציות המותקנות, לקרוא את כל הנתונים במכשיר, לאסוף סיסמאות וליצור בוטנט של "תמיד פועל, תמיד מחובר ותמיד- העברת מכשירי ריגול העוקבים אחר מיקום המשתמשים תוך כדי הקלטה חשאית.
הפגיעות מרחיקת הלכת, שהתגלתה על ידי Bluebox Security של סן פרנסיסקו,כרוך"אי התאמות באופן שבו יישומי אנדרואיד מאומתים ומותקנים מבחינה קריפטוגרפית, המאפשרים שינוי קוד APK מבלי לשבור את החתימה ההצפנה.""מכשיר המושפע מהניצול הזה עלול להפוך לחלק מרשת בוט, לצותת עם המיקרופון, לייצא את הנתונים שלך לצד שלישי, להצפין את הנתונים שלך ולהחזיק אותם כבני ערובה, להשתמש במכשיר שלך כאבן דרך לרשת אחרת, לתקוף את המחשב המחובר שלך, לשלוח הודעות SMS מובחרות, לבצע התקפת DDoS נגד מטרה, או למחוק את המכשיר שלך."
אפליקציות אנדרואיד (ארוזות כ"APK") חתומות עם מפתח הצפנה (בדיוק כמו אפליקציות iOS) כדי למנוע מגורם זדוני לשנות את הקוד. אפליקציות חתומות מתוכננות במפורש כדי לאפשר למערכת לזהות כל שיבוש או שינוי.
עם זאת, בשל פגם האנדרואיד שהתגלה לאחרונה, מפתח נוכל יכול להערים על המערכת לחשוב שאפליקציה שנפרצה היא עדיין לגיטימית, ומעניקה לה גישה רחבה למערכת לעשות כמעט כל דבר.
"מכשיר שהושפע מניצול זה יכול לעשות כל דבר בתחום של זדון מחשב, כולל להפוך לחלק מרשת בוט, לצותת עם המיקרופון, לייצא את הנתונים שלך לצד שלישי, להצפין את הנתונים שלך ולהחזיק אותם כבני ערובה, להשתמש במכשיר שלך בתור קפיצת מדרגה לרשת אחרת, לתקוף את המחשב המחובר שלך, לשלוח הודעות SMS פרימיום, לבצע התקפת DDoS נגד מטרה או למחוק את המכשיר שלך", כתב נציג החברהAppleInsider.
משפיע על כל דבר אנדרואיד, בגדול
הפגם קיים מאז שחרורו של אנדרואיד 1.6 "סופגנייה", כלומר הוא משפיע כמעט על כל מכשירי האנדרואיד שנמכרו בארבע השנים האחרונות, בעצם כל הבסיס המותקן של מכשירי אנדרואיד: Eclair, Froyo, Gingerbread, Honeycomb, Ice סנדוויץ' שמנת וג'לי בין.
אפליקציה שנפרצה המנצלת את הפגיעות יכולה להיראות כמו אפליקציה לגיטימית שקיבלה גישה רחבה למשאבי המערכת. Bluebox מציינת שרבים מהאפליקציות של בעלי רישיונות אנדרואיד עצמם (כגון אלה של HTC, סמסונג, מוטורולה או LG) כמו גם אפליקציות VPN רבות (כגון AnyConnect של סיסקו) נהוגות "מוענקות הרשאות מוגברות מיוחדות בתוך אנדרואיד - במיוחד מערכת UID גִישָׁה.""הכי מטריד הוא הפוטנציאל של האקר לנצל את האופי התמיד-פועל, מחובר תמיד, ותמיד נע (ולכן קשה לזיהוי) של המכשירים הניידים ה'זומביים' האלה כדי ליצור רשת בוט".
לאחר עקיפת מודל חתימת האפליקציות של אנדרואיד כדי לתפוס את מקומה של אפליקציה כזו, תוכנות זדוניות נוכלות יכולות לקבל "גישה מלאה למערכת אנדרואיד ולכל האפליקציות (והנתונים שלהן) המותקנות כעת".
משמעות הדבר היא שלאחר מכן "לא רק שיש לאפליקציה את היכולת לקרוא נתוני יישומים שרירותיים במכשיר (אימייל, הודעות SMS, מסמכים וכו'), לאחזר את כל סיסמאות החשבון והשירות המאוחסנות, היא יכולה למעשה להשתלט על התפקוד הרגיל של הטלפון ולשלוט בכל פונקציה שלו (ביצוע שיחות טלפון שרירותיות, שליחת הודעות SMS שרירותיות, הפעל את המצלמה והקלטת שיחות)."
Bluebox מוסיפה, "לבסוף, והמטריד ביותר, הוא הפוטנציאל של האקר לנצל את האופי התמיד-דלוק, מחובר תמיד, ותמיד נע (ולכן קשה לזיהוי) של המכשירים הניידים ה'זומביים' האלה כדי צור רשת בוט."
פגם גדול לתיקון, הדורש 900 מיליון עדכוני קושחה
Bluebox חשפה את הפגיעות בפני גוגל וחברים ב-Open Handset Alliance בפברואר 2013, אך החברה מציינת כי "זה תלוי ביצרני המכשירים לייצר ולשחרר עדכוני קושחה למכשירים ניידים (ויתרה מכך למשתמשים להתקין עדכונים אלה) הזמינות של עדכונים אלו תשתנה מאוד בהתאם ליצרן ולדגם המדובר.""המערכת האקולוגית של תוכנות זדוניות של אנדרואיד מתחילה להידמות לזו שמקיפה את Windows."
עד כה, בעלי רישיונות אנדרואיד היו איטיים ביותר להפיץ עדכונים כלשהם עבור המשתמשים שלהם, ולעתים קרובות סירבו לטרוח עם הפצת תיקוני אבטחה משמעותיים אפילו.
פגמי האבטחה הבלתי מטופלים של אנדרואיד סייעו להפוך אותו להפלטפורמה המובילה בעולם לנייד עבור תוכנות זדוניות, בעיה שרבים מתומכיה פשוט סירבו להכיר. עם זאת, משמעות הפגיעות החדשה הזו מעמידה את משתמשי אנדרואיד בסיכון גבוה עוד יותר, מכיוון שכעת הם אפילו לא יכולים לסמוך על אפליקציות חתומות על ידי מפתח לגיטימי.
כפי שציינה חברת האבטחה F-Secure במאי, "המערכת האקולוגית של תוכנות זדוניות של אנדרואיד מתחילה להידמות לזו שמקיפה את Windows".
Bluebox תפרט את הפגיעות ב-aכובע שחור ארה"ב 2013מושב של קצין הטכנולוגיה הראשי שלה, ג'ף פוריסטל.
בלימה חלקית, גוגל לא פתוחה לדבר על זה
לְעַדְכֵּן:אדִוּוּחַעַל יְדֵיעולם המחשביםמציינת כי סמסונג כללה תיקון המתקן את הבעיה עבור מכשיר אחד: ספינת הדגל שלה Galaxy S4. המאמר ציין את פוריסטל כמי שאמר כי "גוגל עדיין לא פרסמה תיקונים למכשירי הנקסוס שלה, אבל החברה עובדת עליהם".
"גוגל סירבה להגיב על הנושא", הוסיף הדו"ח. "ברית ה-Open Handset Alliance לא הגיבה לבקשת תגובה".
עם זאת, גוגל חסמה הפצה של אפליקציות המנצלות את הפגם ב-Google Play, אם כי אם המשתמש יתעתע בהתקנה ידנית של עדכון זדוני "עבור אפליקציה שהותקנה במקור דרך Google Play, האפליקציה תוחלף והגרסה החדשה לא תיצור יותר אינטראקציה עם חנות האפליקציות."
טיפול בסוגיית העדכון של מאות מיליוני מכשירי אנדרואיד שכבר נמכרו,עולם המחשביםציין, "ההפצה האיטית של תיקונים במערכת האקולוגית של אנדרואיד זכתה לביקורת מזמן הן מצד חוקרי אבטחה והן מצד משתמשי אנדרואיד.
"חברת האבטחה הסלולרית Duo Security העריכה בספטמבר האחרון, בהתבסס על נתונים סטטיסטיים שנאספו באמצעות אפליקציית הערכת הפגיעות שלה X-Ray Android, כייותר ממחצית ממכשירי האנדרואיד פגיעיםלפחות אחד מפגמי האבטחה הידועים של אנדרואיד."
