באג אנדרואיד מאפשר לנוכלים לבצע שיחות טלפון מיישומים מסויימים

הליקוי משפיע על מרבית מכשירי האנדרואיד בשימוש ויכול בקלות להיות מנוצל על ידי תוכנות זדוניות לבצע שיחות פרימיום, יקרות במיוחד.הליקוי משפיע על מרבית מכשירי האנדרואיד בשימוש ויכול בקלות להיות מנוצל על ידי תוכנות זדוניות לבצע שיחות פרימיום, יקרות במיוחד.
הבעיה שהתגלתה ברוב מכשירי האנדרואיד מאפשרת ליישומים ליזום שיחות טלפון בלתי מורשות, לשבש שיחות מתמשכות ולבצע, להפעיל קודים מיוחדים על המכשיר שיכולים לגרום למעשי נוכלות אחרים.
הליקוי נמצא ודווח לגוגל בסוף השנה שעברה על ידי חוקרים ממשרד ייעוץ הבטחוני Curesec, בברלין שמאמינים שזה הליקוי שהוצג לראשונה גרסת אנדרואיד 4.1.x,
המכונה גם Jelly Bean.הליקוי תוקן בגרסת אנדרואיד 4.4.4, ששוחררה למשתמשים החל מ-
19 ביוני השנה.
אבל יחד עם זאת, הגרסה העדכנית ביותר של אנדרואיד זמינה רק למספר מצומצם של מכשירים שמהווים אחוז קטן מאוד של מכשירים בעלי הליקוי.
בהתבסס על נתונים סטטיסטיים של גוגל, כמעט 60 אחוזים מהמכשירי האנדרואיד שמחוברים לגוגלPlay בתחילת יוני רצו עם גרסאות 4.1.x, 4.2.x ו- 4.3 של מערכת ההפעלה הניידת. עוד 13 אחוזים רצו עם גרסאות 4.4, 4.4.1, 4.4.2 או 4.4.3, שגם הם פגיעים. גרסת 4.4.4 לא שוחררה באותו זמן.
הבעיה, הליקוי מאפשר ליישומים ללא כל הרשאות כול שהיא לסיים את השיחות היוצאות או להתקשר לכל מספרים, כולל מספרי פרימיום, ללא התערבות משתמש. ליקוי זה עוקף את מודל האבטחה של אנדרואיד, שבו יישומים, ללא קבלת רשות CALL_PHONE לא צריכים, ולא יוכלו, יוכלו ליזום שיחות טלפון.
הפגם יכול גם להיות מנוצל לביצוע USSD (Unstructured Supplementary Service Data), SS (Supplementary Service) או קודי MMI המוגדר על ידי יצרן (Man-Machine Interface). קודים מיוחדים אלו שהוזנו באמצעות לוח המקשים, הם כלואים בין * ותווי #, ומשתנים בין מכשירים וספקים שונים. הם יכולים לשמש כדי לאפשר גשת לפונקציות מכשיר שונות או שירותי מפעיל.
"הרשימה של קודי USSD / SS / MMI היא ארוכה ויש כמה אלה חזקים למדי עד לכדי שינוי הזרימה של שיחות טלפון (שילוח), חסימת כרטיס ה-SIM שלך, אפשור או אי אפשור למשתמש anonymisation למתקשר וכךהלאה", אמר המנכ"ל של Curesec Marco Lux ו- Pedro Umbelino
פגיעות של מכשרי אנדרואיד שונים שהתגלו בשנת 2012 אפשרו את הביצוע של קודי USSD ו- MMI על ידי ביקור בדף זדוני.
חוקרים גילו שבזמן שקודים מסוימים אפשרו לאפס כמה טלפונים של סמסונג להגדרות ברירת המחדל של היצרן שלהם, מוחקים את כל הנתונים של המשתמשים בתהליך.
קוד נוסף אפשר שינוי PIN של הכרטיס ואפשרי היה להשתמש כדי לנעול את כרטיס ה-SIM על ידי הזנת קוד האישור הלא נכון PUK (מפתח ביטול חסימה האישי) מספר פעמים.
הפגיעות החדשה עלולה להיות מנוצלת על ידי תוכנות זדוניות לעתיד לבוא, במיוחד כאשר תהליכי התיקון של מכשירי אנדרואיד הוא איטי מאוד והתקנים רבים לא מקבלים עדכון לגרסאות חדשות יותר של מערכת ההפעלה.
"תוקף יכול, למשל, לשטות בקורבנות ולבקשם להתקין יישום tampered ולאחר מכן להשתמש בו כדי להתקשר למספרים פרימיום בעלותם או אפילו אלה הרגילים להקשיב לדיונים בטווח של המיקרופון של הטלפון", אמר Bogdan Botezatu, אנליסט בכיר ,אנליסט נוסף ב- BitDefender אישר שהבאג נמצא על ידי חוקרי Curesec ביום שני.
"גישת הפרימיום נראית יותר מתקבלת על הדעת, במיוחד לאור העובדה שאנדרואיד אינו מסתיר מספרי פרימיום בגישה קולית כפי שזה קורה עם הודעות טקסט".
המתקפה שמתבצעת היא לא בדיוק שקטה, כל שמשתמש יכול לראות הוא שמתנהלת שיחה ע"י הסתכלות בטלפון, אבל יש דרכים לעשות את זיהוי קשה יותר.
אפליקציה זדונית יכולה להמתין בסבלנות עד לזיהוי שאין פעילות בטלפון לפני ביצוע שיחה או יכולה לבצע את ההתקפה רק בשעות הלילה, האפליקציה יכולה גם להסתיר, להסוות לחלוטין את מסך השיחה עם משהו אחר, כמו משחק.
חוקרי Curesec יצרו יישום שמשתמשים יכול להתקין במכשיריהם כדי לבדוק אם המכשירים שלהם פגיעים, אבל הם לא פרסמו אותו כדי שיוכלו לשחק גוגל. ככל Lux יודע, גוגל היא החברה שסורקת את החנות ליישומים המנסים לנצל את הפגיעות.
ההגנה רק עבור משתמשים שאינו מקבלים את עדכון אנדרואיד 4.4.4 תהיה יישום נפרד שמיירט כל שיחה יוצאת ושואל אותם לאישור לפני ההליך, אמר לוקס.
גם לוקס וצוותו זיהו פגיעות בגרסאות אנדרואיד ישנות נפרדות, כלומר 2.3.3 ל- 2.3.6, המכונים גם Gingerbread, שיש להם את אותו האפקט. אלו גרסאות אנדרואיד שהיו עדיין בשימוש על ידי כ -15 אחוזים ממכשירי אנדרואיד נכון ליוני, על פי הנתונים של גוגל.
גוגל לא הגיבה באופן מיידי לבקשה לתגובה.
  מאמר מקור:
http://www.itworld.com/security/426032/android-bug-lets-apps-make-rogue-phone-calls

דילוג לתוכן