מכשירי אנדרואיד ישנים חשופים להורדה אוטומטית והפעלה של קוד זדוני
מאת:
מערכת Telecom News, 19.5.16, 19:02
המדובר במכשירי אנדרואיד בגרסה 4 ומטה. ספקים רבים, שמייצרים מכשירים מבוססי אנדרואיד, מפיצים עדכוני האבטחה לאט מידי. חלקם לא מפיצים עדכונים בכלל בגלל ההתיישנות של דגמים מסוימים. מה עושים?
במהלך מעקב אחר פעילות של מספר קבוצות עברייני סייבר, חוקרי מעבדת קספרסקי זיהו פעילות יוצאת דופן בקוד זדוני הנמצא באתר נגוע, שמציבה משתמשי אנדרואיד בסכנה. קוד זה מפעיל בדרך כלל את ההורדה של כלי פריצה ל-
Flash, כדי לפגוע במשתמשי חלונות. אך בנקודה מסוימת הוא שונה כדי לבדוק את סוג המכשיר, שבו קורבן המטרה משתמש, כשהוא מחפש במיוחד מכשירי אנדרואיד בגרסה 4 ומטה. עם זיהוי הסכנה החליט מומחי החברה לרדת לעומק הדברים.
הדבקה של מכשירי אנדרואיד היא קשה מהדבקה של מחשבי חלונות. מערכת הפעלה חלונות, ורבות מהאפליקציות הנפוצות עבורה, מכילות פרצות המאפשרות לקוד זדוני לפעול מבלי שנדרשת אף פעולה מצד המשתמש. זהו לא המקרה עם מערכת ההפעלה אנדרואיד בה כל התקנה של אפליקציה דורשת אישור של הבעלים של המכשיר. עם זאת, ניתן לנצל פרצות במערכת ההפעלה באמצעות עקיפת המגבלה, וכפי שהחוקרים גילו, הדבר אכן מתרחש.
הקוד הוא מערך של הוראות מיוחדות להפעלה בדפדפן המוטמעות בתוך הקוד של אתרים נגועים. הקוד הראשון זוהה כאשר הוא חיפש אחר מכשירים, שמפעילים גרסאות ישנות של מערכת ההפעלה אנדרואיד. בהמשך התגלו 2 מערכי קוד חשודים נוספים. הראשון מסוגל לשלוח
SMS לכל מספר נייד, והשני יוצר קובץ זדוני על כרטיס ה-
SD של המכשיר הפגוע.
קובץ זדוני זה הוא טרויאני, ויש לו את היכולת ליירט ולשלוח הודעות
SMS. 2 מערכי הקוד מסוגלים לבצע פעולות באופן עצמאי, ללא מעורבות משתמש המכשיר: המשתמש רק צריך להיכנס לאתר נגוע.
הדבר מתאפשר מכיוון שהעבריינים משתמשים בכלי פריצה עבור מספר חולשות הנמצאות בגרסאות אנדרואיד 4.1 ומטה
- CVE-2012-6636, CVE-2013-4710 ו-CVE-2014-1939. כל 3 הפרצות עודכנו ע"י גוגל בין השנים 2012 ו-2014, אבל הסיכון לניצול שלהם עדיין קיים. לדוגמא, ספקים רבים, שמייצרים מכשירים מבוססי אנדרואיד, מפיצים את עדכוני האבטחה לאט מידי. חלקם לא מפיצים עדכונים בכלל בגלל ההתיישנות של דגמים מסוימים.
כדי להגן מפני התקפות "הורדה על הדרך" מומלצות מספר דרכים:
שמירה על התוכנה של מכשירים מבוססי אנדרואיד מעודכנת באמצעות הפעלת עדכונים אוטומטיים.
הגבלת ההתקנה של אפליקציות ממקורות אחרים מחנות גוגל פליי, במיוחד אם מנהלים מספר מכשירים הפועלים ברשתות ארגוניות.
שימוש בפתרון אבטחה מוכח המסוגל לזהות שינויים בכרטיס ה-
SD של המכשיר בזמן אמת, ובכך להגן על משתמשים מפי התקפות של "הורדה על הדרך" המתוארות לעיל.
ויקטור צ'בישב, חוקר אבטחה במעבדת קספרסקי: "שיטות הפריצה, שמצאנו במהלך המחקר אינן דבר חדש, אבל הם התבססו על הוכחות היתכנות (Proof of Concept), שפורסמו בעבר ע"י חוקרים. המשמעות היא, שספקים של מכשירי אנדרואיד צריכים לקחת בחשבון, שפרסומים של הוכחות היתכנות עלולים להוביל ליצירת חימוש חי לניצול פרצות. למשתמשי המכשירים מגיע להיות מוגנים באמצעות עדכוני האבטחה האחרונים, אפילו אם המכשירים אינם נמכרים יותר".