בואו לגלות את עמוד הכתבה החדש שלנו
${m.global.stripData.hideElement}
 

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

תחשבו לפני שאתם אומרים מספר כרטיס אשראי באנדרואיד

חוקרי אבטחה פיתחו אפליקציה לאנדרואיד המסוגלת "לדוג" את פרטי כרטיס האשראי שלכם לא רק כשאתם מקלידים אותם, אלא גם כשאתם אומרים אותם בטלפון

תגובות

עם יד על הלב, מתי בפעם האחרונה עצרתם וקראתם לפני שלחצתם Next כשהתקנתם תוכנה או אפליקציה? האם אי פעם בדקתם מה אישרתם?

כשמשתמש אנדרואיד מתקין אפליקציה הוא נדרש לאשר רשימה ארוכה של הרשאות גישה שממנה תהנה האפליקציה. דברים אלה משתנים מאפליקציה לאפליקציה וכוללים גישה לאינטרנט, ביצוע שיחות, שליחת סמסים ועוד. המשתמש הממוצע רואה את "נוהל אישור האפליקציה" כבזבוז זמן ופשוט מאשר את האפליקציה. במילים אחרות - גן עדן ל"דייגים".

אפליקציות למטרת פישינג באנדרואיד זה לא דבר חדש (ראו לדוגמא את Tapsnake). לאור זאת החליטו חוקרים מאוניברסיטאות הונג קונג ואינדיאנה לפתח את האפליקציה soundminer כפרויקט proof-of-concept (הוכחת יכולת). המיוחד באפליקציה הזאת הוא שההרשאות שהיא מבקשת מסתכמות בגישה ל'שיחות', על מנת לקרוא את מצב הטלפון, ל'מידע האישי שלך' כדי לקרוא מידע על אנשי קשר ו'בקרת חומרה' כדי להקליט אודיו. על פניו נראה לגיטימי כשמדובר באפליקציה להקלטת קול.

מהרגע שהאפליקציה הותקנה על הטלפון ה-soundminer יושבת בשקט ברקע ומחכה לשיחה. כאשר השיחה נכנסת לבסוף היא מאזינה בסבלנות ומקליטה את הנאמר עד שהיא קולטת מספר כרטיס אשראי ומבצעת את הפעולה הנדרשת כדי להפוך את הקלטת הקול למספרים.

והנה הדובדבן שבקצפת. ל-soundminer עצמה אין הרשאת גישה ל'תקשורת רשת' ועל מנת שהיא תוכל לשלוח את הנתונים שאספה לגורם חיצוני היא זקוקה לעזרה של אפליקציה נוספת. אפליקציה זו נקראת deliverer והיא קיימת למטרה הזו בלבד - לשלוח את המידע לתוקף.

כשגוגל תכננה את האנדרואיד היא דאגה להגביל תקשורות מסוימות בין האפליקציות, אבל המפתחים במקרה הזה מצאו דרך לעקוף את אותן הגבלות. במקום לשלוח את המידע באופן ישיר מתוכנה אחת לאחרת, הם משתמשים בצורה מתוחכמת של קוד מורס. כן, המורס הישן והטוב הוא קרוב לוודאי שיטת התקשורת הבינארית הנפוצה הראשונה. נקודות ומקפים אינם שונים בהרבה מהספרות אחת ואפס. אפליקציה אחת משנה משהו כמו בהירות המסך בזמן שהאפליקציה השנייה קוראת את בהירות המסך. לצורך הדוגמא נגיד שבהירות מקסימאלית זו נקודה וכל דבר פחות מזה זה מקף. ביצירת שינויים קלים בבהירות המסך ניתן להעביר מידע רב בין תוכניות, בלי שהמשתמש בכלל ידע על זה.

במקרה זה האפליקציה פותחה כדי להוכיח את תכנות התקיפה אבל המסר הוא ברור. השתמשו באנדרואיד שלכם בחוכמה ולפני שאתם מתקינים אפליקציה תשאלו עצמכם עד כמה באמת אתם צריכים את אותה. הבחירה הטובה ביותר במקרה כזה תהיה לא להתקין הרבה אפליקציות שאתם יודעים עליהן כל כך מעט.

רנדי אברמס הוא דירקטור לחינוך טכנולוגי בחברת ESET



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות
*#
בואו לגלות את עמוד הכתבה החדש שלנו