האקרים סוריים השתלטו על חשבון המפתחים לאנדרואיד של רשת Sky הבריטית ופירסמו "עדכון" תוכנה משלהם, במה שמתגלה כבעיה אבטחתית גדולה מאוד במערכת ההפעלה הניידת של גוגל
רשת Sky היא רשת טלוויזיה גדולה מאוד בבריטניה. לרשת יש כמה אפליקציות אנדרואיד המשמשות ללוח שידורים, שירותי VOD וכו'. לפני כמה ימים חשבון המפתחים של Sky נפרץ, וקבוצת האקרים סורים שיחררו החליפו את התמונות בחשבון (Defacing) בצורה כזו שלא השאירה מקום לספק האם הוא נפרץ או לא. יש בלבול רב ולא ברור אם קבוצת ההאקרים אכן הצליחו לשחרר "עדכון" משלהם או שמהא רק החליפו את תיאור האפליקציה והתמונות. הסברה הרווחת היא שהם אכן שיחררו עדכון. כמו כן, חשבון הטוויטר של רשת Sky נפרץ אף הוא ולמרבה ההפתעה פורסמה בו אזהרה לגבי האפליקציות. מאוד מוזר. בשלב זה אולי אתם שואלים את עצמכם "אז מה אכפת לי מפריצת אפליקציה שמעולם לא שמעתי עליה?" התשובה היא שצריך להיות אכפת לכם. ועוד איך.
כדי להסביר את חומרת הפריצה הזו צריך להבין את תהליך שחרור האפליקציות לפליי סטור של גוגל. השלב הראשון הוא כמובן פתיחת (או שימוש) בחשבון גוגל שדרכו האפליקציות ישוחררו. מדובר בחשבון גוגל לכל דבר, כמו שלי ולכם ויש וזהו החלק הראשון בפריצה המדוברת. ההאקרים הסוריים השיגו גישה לחשבון הגוגל שרשת Sky משתמשת כדי לשחרר את האפליקציות.
העמוד המושחת של אפליקציית Sky |
השלב השני הוא חתימת האפליקציה עם חתימה דיגיאלית. כל אפליקציה מקבלת חתימה משלה שהמפתח מתבקש להשתמש כאשר הוא מעוניין לעדכן אותה. וזה החלק היותר מפחיד בסיפור. לא ברור כיצד, אבל קבוצת ההאקרים השיגו את החתימה הדיגיטלית של האפליקציה וחתמו אותה בעצמם. הסברה ההגיונית ביותר היא שגם החשבון של גוגל וגם החתימה לא נשמרו בצורה הדוקה מדי (סביר להניח שהחתימה נשמרה כקבוץ טקסט בחשבון הגוגל אם לשפוט על פי התחכום הנמוך בצוות ההאקרים הציג).
המשמעות פה היא עצומה. במקרה הנ"ל, המזל הגדול של משתמשי אותה אפליקציה היה שצוות ההאקרים לא ניסה בכלל להסתיר את הפריצה והציג אותה לעיני כל לשם מטרות פוליטיות. גורמים אחרים היום יכולים להשתמש בפרצה הנ"ל כדי לשחרר עדכון תמים כביכול שהיה בלתי מובחן לחלוטין, הרי מדובר בעדכון רשמי לכל דבר. כלומר, כל אפליקציה שמותקנת לכם על המכשיר, גם אם היא ממקור אמין והורדה ישירות מהחנות של גוגל, יכולה להוות פתחה לפירצה. כל מה שמונע מזה לקרות זה טיב השמירה על סודיות פרטי הכניסה לחשבון של אותו מפתח ושמירה על החתימה הדיגיטלית. לא יודע מה אתכם, אבל אותי זה מפחיד.
הציוץ מחשבון הטוויטר הפרוץ |
לגוגל יש את האופציה להסיר כל אפליקציה שהותקנה דרך החנות שלה. בשלב זה היא עדיין לא ביצעה זאת (סביר מאוד להניח שזה בלחץ של רשת Sky שלאו דווקא מעוניינת שכל משתמשי האפליקציה שלה יפסיקו להשתמש בה, כנראה לתמיד). כמו כן, עדיין לא נתקבלה אף תגובה מגוגל לגבי מחדל האבטחה הזה.
אז מה אפשר לעשות כדי להתגונן? בתור משתמשים האמת, האפשרויות הן מוגבלות:
- השתדלו להשתמש רק באפליקציות שאתם באמת זקוקים להם והסירו כל אפליקציה שאין לכם צורך בה, כך רמת הסיכון תרד.
- הקפידו לשים לב להרשאות שכל אפליקציה מבקשת ועצרו לחשוב אם יש בזה הגיון (הגיוני שמשחק ירצה למשל גישה לאינטרנט, פחות הגיוני אם הוא יבקש להוציא שיחות).
- עברו על הרשאות האפליקציות הקיימות שלכם כדי לבדוק את רמת הסיכון (אפליקציה בשם Clueful מבית BitDefneder תעזור לכם לבצע זאת ביתר קלות ולא חסרים פתרונות נוספים בנושא הזה).
- בטלו את אפשרות העדכונים האוטומטיים בחנות של גוגל. עדכנו ידנית רק אפליקציות שאתם משתמשים בהם.
אם אתם מפתחים, אתר XDA ריכז מספר טיפים מועילים ביותר לנושא. אפרט את חלקם בקצרה:
- צרו חשבון גוגל נפרד לחלוטין למען שחרור האפליקציות ואל תשתמשו בו לשום דבר אחר.
- צרו סיסמה מאובטחת ואקראית לחלוטין.
- השתמשו במנגנון אימות דו שלבי לחשבון הגוגל שלכם והשתמשו במסך נעילה עם אבטחה (סיסמה או PIN)במכשיר האנדרואיד שלכם.
- שימו לב לאפשרויות השחזור של המנגנן. הגדרות שחזור רבות מדי מקלות על פורץ למצוא דרך להיכנס.
הכי חשוב זה לשים לב למה אתם עושים ולהיות ערים לכך שישנם גורמים זדוניים בעולם. המכשירים החכמים שלנו הם פתח לחיים שלנו וכמו כל דבר אחר, אנחנו צריכים לוודא שהוא מאובטח ככל האפשר.
מה לגבי antivirus
וכו' הם לא יעזרו במצבים כאלה?
כותרת דמגוגית
מחדל האבטחה לא קשור לאנדרואיד, הוא של מפתחי האפליקציה.
אם מישהו שומר את הקוד הסודי שלו בצמוד לכרטיס ויזה ואז גונבים לו אותם ומרוקנים את החשבון, זה מחדל של הבנק?
כל ה-X.509 זה אבטחה מדומה
זה לא בעיה לעקוף כל חתימה – certificate basic constraints
ל-2
פספסת את כל הנקודה. ברור שמחדל האבטחה הוא של מפתחי האפליקציה, אבל הבעיה שזו יצר גרמה לכך בין 1,000,000 ל-5,000,000 משתמשים פוטנציאלים יכולים לקבל עדכון "רשמי" מההאקרים. והדבר היחידי שאפשר לעשות במצב זה הוא להסיר להם את האפליקציות (מה שגוגל עוד לא עשתה). זה הרבה יותר חמור מבנאדם אחד שאיבד את פרטי כרטיס אשראי שלו…
שלומי, לא הבנת כלום ממה שקראת
קרא שוב, לאט ובזהירות.. אולי תבין