פרצת האבטחה שגרמה אפילו לחובבי האנדרואיד המושבעים להתחיל להתייאש - Markerweek - TheMarker
 

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

פרצת האבטחה שגרמה אפילו לחובבי האנדרואיד המושבעים להתחיל להתייאש

הטלפון הסלולרי שלכם עובד עם אנדרואיד? 
יכול להיות שברגע זה מישהו משתלט על המכשיר שלכם, שולח הודעות בשמכם ומצלם בו תמונות ■ פרצת האבטחה Stagefright, שאותה זיהתה חברת הסייבר הישראלית זימפריום - צריכה להטריד את כולנו

29תגובות

הכינוי שלה הוא פחד במה, Stagefright. מומחי אבטחה יקראו לזה "חולשה" או "פגיעות" (Vulnerability) אבל האמת שזו פשוט פרצת אבטחת מידע, ענקית - אולי הגדולה בתולדות עולם הטכנולוגיה. אם יש לכם מכשיר אנדרואיד, כנראה שגם אתם חשופים אליה, ופורץ מתוחכם יכול להשתלט לכם על הטלפון הסלולרי מרחוק ולעשות בו ככל העולה על רוחו. פרצת האבטחה הזו כל כך גדולה ומשמעותית, שהיא עוררה דיון רחב בעולם הטכנולוגי על אבטחה של סמארטפונים, ובעיקר על הפגיעות המובנית של אנדרואיד. ואולי הכי מעניין הוא שמי שגילה את החור הגדול הזה היא חברת הסייבר הישראלית זימפריום (Zimperium), שמייסדה, יצחק (צוק) אברהם, הוא בן 27 בלבד.

זה התחיל כמו הודעה שגרתית. ב–27 ביולי דיווחה זימפריום על פרצת אבטחה חדשה שגילו החוקרים שלה באנדרואיד, Stagefright שמה. מה יש להתרגש? עוד חברת אבטחה גילתה עוד איזשהו חור אבטחה במערכת ההפעלה. דברים מסוג זה קורים כל יום. אלא שמהר מאוד התברר כי הפעם מדובר במשהו רציני יותר.

"ג'ושוע דרייק, סמנכ"ל המחקר של zLabs, זרוע המחקר של זימפריום, צלל לתוך הפינות העמוקות ביותר בקוד התוכנה של אנדרואיד, וגילה את מה שאנחנו מאמינים שהיא הפגיעות הגדולה ביותר במערכת ההפעלה עד היום. פגיעות Stagefright חושפת כ–95% ממכשירי האנדרואיד בשוק, או לפי הערכה, 950 מיליון מכשירים", נכתב בבלוג של החברה. יש המעריכים כי מאחר שיש יותר סמארטפונים ממחשבים בעולם, מדובר בפרצת האבטחה הגדולה בהיסטוריה של הטכנולוגיה.

"אפשר בהחלט לומר זאת", אומר אברהם, יו"ר זימפריום, בראיון ראשון מאז חשיפת הפרצה. "התולעת הכי איומה בהיסטוריה של ווינדוס נגעה לפי הערכות ל–6 מיליון מחשבים. אנחנו מדברים על 60 מיליון מכשירי אנדרואיד שחשופים מיידית, ופוטנציאל נזק ל–950 מיליון סמארטפונים".

בעולם פועלות חברות אבטחה רבות, על חלקן בוודאי שמעתם - כמו קספרסקי וסימנטק. בחברות אלה יש מחלקות מחקר שמחפשות חולשות בתוכנה, למשל חור אבטחה בווינדוס, או חולשה בנגן הפלאש בדפדפן. בשלב הזה החברות מודיעות לחברה הרלוונטית על הפרצה, והיא מוציאה Patch, טלאי לחור, ושולחת ללקוחות הודעה על עדכון תוכנה קריטי. בגלל זה, אגב, כדאי תמיד לשמור על התוכנה עדכנית. עוד נהוג בעולם אבטחת המידע, שאחרי שהחברה האחראית מוציאה טלאי עדכון, חברת האבטחה מודיעה: מצאנו חור אבטחה כזה וכזה, שעובד ככה ככה, ואפשר לעשות באמצעותו את הדברים הבאים.

מה שמפתיע הוא שהפעם הפרצה החריגה התגלתה לא על ידי קספרסקי על 3,000 עובדיה או סימנטק על 21 אלף עובדיה, אלא על ידי זימפריום - חברה ישראלית־אמריקאית עם 60 עובדים בסך הכל. "זו לא הכמות - זאת האיכות", אומר אברהם בחיוך. "נכון שאין לנו את אותו מספר אנשים כמו בצוות המחקר של קספרסקי או גוגל, אבל עובדים אצלנו כמה מההאקרים הטובים בעולם בתחום המובייל".

ברשימה הזאת נמצא גם אברהם, "מתכנת מגיל אפס", הוא מעיד על עצמו. בצה"ל הוא שירת בחיל המודיעין כחוקר בתחום אבטחת המידע. זה הכי הרבה שהוצאנו ממנו לגבי תפקידו הצבאי. עם השחרור גויס אברהם לסמסונג כחוקר אבטחה, וב-2010, נסע ל–DEF CON, כנס ההאקרים החשוב והגדול בעולם, והציג מחקר פורץ דרך על פריצה לסמארטפונים. מכאן הדרך להקמת זימפריום ולגיוס סכומי כסף משמעותיים היתה קצרה.

מאזינים לך דרך המיקרופון

זימפריום מייצגת דור חדש של חברות סייבר, שבניגוד לחברות הגדולות שהוזכרו קודם, ועוד רבות אחרות שהחלו ב–PC ובמחשוב הארגוני ולמדו בהדרגה להגן גם על עולם הסמארטפונים, היא חברת מובייל טהורה. "הקמנו את החברה עבור תחום המובייל, ואנחנו פועלים רק עבור אנדרואיד ו–iOS. עובדים אצלנו אנשים שעבדו בעבר בסמסונג, ופיתחנו מומחיות בתחום", אומר אברהם.

במובן הזה זימפריום היא חלק מאשכול של חברות ישראליות שמתמקדות בהגנה על מערכות הפעלה סלולריות, בהן לאקון, שנמכרה באחרונה לצ'ק פוינט, Skycure ואחרות. בין המשקיעות בזימפריום נמצאת סמסונג וכן טלסטרה, מפעילת תקשורת גדולה מאוסטרליה, כך שדרך מועצת המנהלים שלה יש לחברה היכרות וגישה לצדדים שונים באקו־סיסטם הסלולרי.

המוצר העיקרי של זימפריום, zIPS, אינו פונה ללקוח הסופי, אלא ללקוחות תאגידיים גדולים. אברהם לא יכול למסור שמות, אך מוכן לומר שבין הלקוחות נמצאות חברות S&P 500 ששמן מוכר לכל.

מה הלוגיקה של פתרון האבטחה שלכם?

אברהם: "אנחנו מזהים אנומליות בהתנהגות המכשיר, ועד עכשיו הצלחנו לזהות כך כל סוג תקיפה, אפילו כשהוא לא מחובר לרשת. זה דומה במידה מסוימת לפתרון אבטחה כמו זה של צ'ק פוינט לרשת הארגונית, כך שבארגון שבו יש 50 אלף טלפונים סלולריים, יהיו 50 אלף צ'ק פוינטס".

גאדג'טי

מה שמפתיע בפרצת Stagefright הוא לא רק עד כמה הפרצה רחבה, אלא כמה היא איומה. כל מה שצריך לעשות כדי להשתמש בה הוא לשלוח לקורבן הודעת MMS שמכילה קוד זדוני. במידה שהמכשיר מכוון לפתוח הודעות MMS בצורה אוטומטית, וזאת ברירת המחדל לרוב, היא משתלטת על המכשיר בלי להשאיר עקבות. בסרטון שאברהם הציג לנו אפשר לראות מחשב מרוחק משתלט על מכשיר אנדרואיד מבלי שהמסך נדלק בו.

"ומהרגע הזה אפשר לקרוא לך את המיילים ואת הודעות ה–SMS", אומר אברהם. "אפשר לפתוח לך את המיקרופון ולהאזין לך, גם כשאתה לא בשיחה, אפשר לצלם תמונות בטלפון בלי שאתה רואה או יודע. אנחנו מחפשים בדיוק חולשות כאלה, לא סתם דברים שפוגעים בפעילות המכשיר, כי זה לא שימושי בעולם האמיתי. אני לא מכיר תוקף שישרוף את היכולות שלו בשביל להשבית מכשיר. כל מה שצריך בשביל לתקוף באמצעות Stagefright הוא לדעת את מספר הטלפון של הקורבן - זה יכול להיות ראש ממשלה או סלבריטאי".

מכיוון ש–Stagefright יודעת גם לגשת לאנשי הקשר, היא יכולה לשלוח את עצמה לכל אנשי הקשר של הקורבן ולהדביק גם אותם, מה שמכונה בעולם אבטחת המידע "תולעת".

יש סיכוי שההחבר'ה הרעים כבר מכירים את החולשה הזאת ועושים בה שימוש?

"יש סיכוי לא קטן שתוקפים כבר השתמשו בחולשה הזאת, ובעקבות הגילוי היא הולכת להיסגר".

אברהם מתראיין ממשרדי החברה בקליפורניה ("זו היתה דרישה של המשקיעים שאני אהיה פה", הוא מתנצל בשיחת וידאו), ממש לפני שהוא עולה על טיסה ללאס וגאס. היום נפתח שם עוד כנס DEF CON, שבו תציג החברה בפירוט רב יותר את הפרצה. החלק המעניין ביותר בסיפור Stagefright לא נוגע דווקא למחדל האבטחה הזה, אלא לסכנה שהוא עדיין מציב. . כבר באפריל יצרו אנשי זימפריום קשר עם גוגל והזהירו אותם לגבי החור הענק שיש באנדרואיד. גוגל לקחה את העניין במלוא הרצינות, אבל רוב מכשירי האנדרואיד שבשוק עדיין חשופים לפרצה.

אנדרואיד היא מערכת הפעלה סלולרית בקוד פתוח: כל יצרנית טלפונים לוקחת את מערכת ההפעלה הבסיסית שגוגל כותבת ומשנה אותה. אם תבדקו, למשל, סמארטפון של סמסונג, תמצאו ממשק הפעלה שונה במעט מזה שיש במכשירי HTC, למשל. בנוסף, כל מפעילה סלולרית משנה גם היא קצת את מערכת ההפעלה, כדי שהאפליקציות שלה יהיו מובנות במכשיר (My Orange, לדוגמה). כך נוצר מצב שאין מערכת הפעלה אנדרואיד אחת אלא מאות, אולי אלפי גרסאות, וזאת בניגוד לאפל, שבה יש iOS אחת וזהו.

כשגוגל מוציאה עדכון תוכנה או טלאי אבטחה, היא שולחת אותו ליצרניות השונות, אבל קצב העדכון של המכשירים בשוק תלוי בהן. חלק מהיצרניות עובדות מהר, וחלק לאט. מספיק שיש לכם HTC בן שנתיים, ולא תקבלו עדכון לאנדרואיד 5.0, למשל. זה נכון גם לגבי תיקון פרצות אבטחה: היצרניות עובדות בקצב שלהן. גם במקרה של Stagefright, גוגל הודתה לזימפריום ולחוקר ג'ושוע דרייק, ומיהרה להוציא עדכון אבטחה שנשלח ליצרניות השונות. אלא שעד לרגע זה רוב היצרניות לא התאימו את הטלאי למכשירים שלהן ושלחו עדכון ללקוחות. יוצאי דופן לטובה הם מכשירים עם Pure Android, שבהם יש אנדרואיד כמו שגוגל כתבה אותה - בעיקר סדרת מכשירי נקסוס, שמקבלים עדכונים מהירים.

חובבי אייפון? גם אתם לא בטוחים

חוקר האבטחה ניקולאס וייבר הגיב לפרצה ותקף את טבעה של אנדרואיד בהקשר של תיקון בעיות אבטחה: "דמיינו מצב שבו ווינדוס היתה חייבת להעביר כל טלאי אבטחה דרך Dell ואז דרך ספקית האינטרנט שלכם לפני שהוא היה מגיע אליכם, ולאף אחד בדרך לא היה באמת אכפת. לזה קוראים אנדרואיד".

הקריפטוגרף (מומחה הצפנה) המפורסם בעולם, ברוס שנייר, הגיב לפרשה וכתב: "זו חולשה חמורה, אבל החלק הגרוע ביותר הוא שמדובר בפרצה לאנדרואיד, מה שאומר שמרבית מכשירי הטלפון לא יטולאו בזמן הקרוב - אם בכלל. רוב היצרנים קיבלו את הטלאי מגוגל כבר באפריל, ורובן לא שלחו אותו למשתמשים". באתר Appleinsider חגגו על הפרצה וכתבו ש"אנדרואיד היא הפלאש החדש", כשהם לועגים לתוכנת הווידאו הידועה לשמצה, ואילו באתר The Register הבריטי בחרו בכותרת "יש לך אנדרואיד? נפץ אותו עם פטיש - ועשה את זה עכשיו".

אפילו בקרב חובבי האנדרואיד נוצר משבר אמון. באתר MotherBoard כתב לוראנצ'ו פראנצ'סקי ביקיארי מאמר מרשים תחת השם הקולע Goodbye Android. ביקארי תיאר את עצמו בתור חובב אנדרואיד (Android Fan) אידיאולוגי, שתמיד היה נאמן לפילוסופיה הפתוחה של אנדרואיד מול הגן הסגור והכוחני של אפל והאייפון. אלא שסוגיית האבטחה הכריעה אותו: "אנחנו, משתמשי האנדרואיד, נתונים לחסדי המפעילות ויצרניות המכשירים כשזה מגיע לעדכוני קושחה", כתב. "עד כמה שאני עומד לשנוא את עצמי, הברירה שנותרה לי היא לעבור לאייפון".

אפילו בגוגל הבינו שיש בעיה. בעקבות Stagefright הוציאה החברה ביום רביעי הודעה דרמטית, כי מעתה תוציא עדכון אבטחה חודשי, מה שלא קרה במשך שש שנות חייה של מערכת ההפעלה. גם סמסונג הוציאה הודעה דומה - ואלה חדשות טובות לפלטפורמה. מתברר שמומחית האבטחה קרן אלעזרי צדקה כשטענה ש"האקרים הם המערכת החיסונית של האינטרנט".

אברהם מגיב לפולמוס מערכות ההפעלה הסלולריות ואומר: "נגענו בבעיה רחבה, בעיית העדכונים באנדרואיד". החברה גם החליטה לעשות משהו בנידון: "הקמנו עכשיו פורום ביחד ליצרניות המכשירים וספקיות הסלולר, כבר עכשיו הצטרפו אליו 25 חברות ואנחנו מכסים את מרבית השוק. הפורום מאפשר לנו לעדכן את החברות בחולשה במטרה שהן יתקנו את הבעיה עבור הלקוחות. עם כל גל הפרסומים סביב החולשה אני הרבה יותר אופטימי עכשיו". בימים הקרובים מתכוונת זימפריום להעלות ל–Play Store של גוגל טלאי כדי שגם לקוחות הקצה יכולו להוריד ולסתום את החור, גם אם המפעילה שלהם שאננה.

אז אנדרואיד פחות בטוחה מ- iOS?

"לא. אותן חולשות קיימות גם באייפון. לצורך העניין המחקרים הבאים שנפרסם נוגעים ל–iOS. צריך לזכור שאלה מערכות הפעלה צעירות - iOS מ–2007 ואנדרואיד מ–2009. גם אפל מבינה בהדרגה שהיא תצטרך לאפשר התקנה של תוכנות הגנה על המכשיר".

ואיזה טלפון יש לך?

"יש לי שישה ממכשירים - אנדרואיד ו–iOS. חייבים לשחק עם הטכנולוגיות".

תומר אפלבאום

עשה זאת בעצמך: כך תמנעו מפחד במה

פרצת האבטחה Stagefright (פחד במה) חודרת למכשיר האנדרואיד בהודעת MMS. היא כל כך חמורה ועמוקה שבשלב זה ההמלצה של מומחי האבטחה היא לא לפתוח הודעות MMS בכלל, גם לא ממספר מוכר ובוודאי לא ממספר שאינו מוכר. אם מישהו שולח לכם הודעה כזו, מחקו אותה ובקשו שישלח אותה בווטסאפ או במייל.

אבל זה לא מספיק. באנדרואיד אפשר לבחור איזו תוכנה תטפל לכם בהודעת SMS ו–MMS, וחלק מהתוכנות פותחות הודעות MMS באופן אוטומטי. בראש הרשימה נמצאת תוכנת Hangouts, המובנית בחלק מגרסאות האנדרואיד. לכן חשוב שתיכנסו לתוכנת ה–SMS שלכם ותוודאו שהיא לא פותחת אוטומטית הודעות MMS. חלק מאפליקציות הטקסט המוכרות לאנדרואיד כמו Textra ו–Chomp SMS הוציאו עדכון תוכנה שמנטרל הורדת MMS אוטומטית למכשיר.

אם אתם מקבלים הודעה על עדכון קושחה (גרסת אנדרואיד) - מהרו והתקינו אותה. חלק מהיצרניות כבר הוציאו עדכון קושחה שמתקן את הפגיעות. שווה לעקוב אחרי הפרסומים בנושא, כי בימים הקרובים עתידה זימפריום להוציא טלאי ל–Stagefright. הטלאי יעלה לחנות האפליקציות ותוכלו להתקין אותו ולהרגיש בטוחים - עד הפרצה הבאה.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#