חברה ישראלית איתרה פרצת אבטחה חמורה בגוגל
חברת הסייבר הישראלית צ'קמרקס חשפה פרצת אבטחה חמורה באפליקציית המצלמה בטלפונים של גוגל, סמסונג ובמכשירים נוספים מבוססי אנדרואיד • האקרים יכולים להשתלט על אפליקציית המצלמה ולהקליט סרטונים או לצלם תמונות באמצעות אפליקציה זדונית שאין לה הרשאות לעשות זאת
- אלי שלזינגר
- כ"א חשון התש"פ
- 1 תגובות
חברת הסייבר הישראלית צ'קמרקס (Checkmarx) חושפת פרצת אבטחה חמורה באפליקציית המצלמה בטלפונים של גוגל, סמסונג וכנראה גם מכשירים נוספים מבוססי אנדרואיד.
בחברות גוגל וסמסונג, סיווגו את הפרצה כחמורה בדרגה גבוהה ובעקבות פניית צ'קמרקס - וכבר הוציאו תיקון שחסם את הפרצה במכשירי הטלפון.
החוקרים מצאו כי על ידי מניפולציה של פעולות ותוספות מסוימות בחבילת האפליקציות של מצלמת גוגל, האקרים יכולים להשתלט על אפליקציית המצלמה ולהקליט סרטונים או לצלם תמונות באמצעות אפליקציה זדונית שאין לה הרשאות לעשות זאת.
הדמייה
בנוסף, האפליקציה הזדונית יכולה לגשת למיקום ה-GPS הנוכחי של הטלפון (ושל המשתמש) המוטבעים בתמונות וגם למיקומים של תמונות שצולמו מהמכשיר בעבר. ניצול הפרצה כולל הקלטה וצילום המשתמש מתאפשרים גם כאשר הטלפון נעול, המסך כבוי, או כשהמשתמש נמצא במהלך שיחה.
חוקרי צ'קמרקס מצאו גם כי אותן נקודות תורפה משפיעות על אפליקציות המצלמה של יצרני סמארטפונים אחרים מבוססי אנדרואיד, כמו סמסונג, מה שמביא את היקף ההשפעה הפוטנציאלי למאות מיליוני משתמשים.
בחברת גוגל כתבו לחברה הישראלית, עי "אנו מעריכים את צ'קמרקס על כך שהביאה את פרצת האבטחה לידיעתנו, ועבדנו עם שותפי גוגל ואנדרואיד כדי לתאם את התיקון. הנושא טופל במכשירי גוגל הרלוונטיים באמצעות עדכון של חנות Play ליישום המצלמה של גוגל ביולי 2019. תיקון הועלה וזמין גם כן לכל השותפים".
לדברי ארז ילון, מנהל מחקר אבטחת המידע בחברת צ'קמרקס, "זו כנראה הפרצה הגדולה ביותר שמצאנו עד היום מבחינת העומק והמשמעות. מדובר בניצול לרעה של אפליקציית המצלמה, כיוון שהיא לא אמורה לאפשר לאפליקציה חיצונית לעקוף הרשאות ולשלוט בה באופן מלא. חשוב להדגיש שיש להתקין כל הזמן את עדכוני התוכנה של היצרניות".
ארז ילון, מנהל מחקר אבטחת המידע בחברת צ'קמרקס
הוספת תגובה
לכתבה זו התפרסמו 1 תגובות