צ'ק פוינט גילתה פגיעויות ב-900 מיליון טלפונים חכמים

האקרים עלולים לקבל בקלות גישה להכל – ממיילים מוצפנים של תאגידים ועד לערוצי בנקאות מקוונת – בעזרת פגיעות שנמצאה בשבבי קוואלקום (Qualcomm)  המותקנים בכמעט מיליארד מכשירי טלפון חכם וטאבלטים מבוססי אנדרואיד (Android), כך מסרה צ'ק פוינט (Check Point).

הפגיעויות הוצגו אתמול (א') בכנס Def Con שהתקיים בלאס וגאס. חוקרי האבטחה של צ'ק פוינט מצאו ארבע חולשות אבטחה בשבבי המובייל שמייצרת קוואלקום.

מכשירי אנדרואיד שבהם מותקנים השבבים, חשופים לתקיפות המאפשרות להאקרים להשיג שליטה מוחלטת על המכשיר. צ'ק פוינט דיווחה לקוואלקום על החולשות, והיא שחררה עדכוני תוכנה ליצרני ולמפיצי המכשירים.

חוקרי צ'ק פוינט העלו ל-Google Play אפליקצייה חינמית, שבה ניתן להזין את פרטי המכשיר ולגלות האם הוא חשוף לחולשות שנתגלו.

החוקרים גילו סדרה של ארבע חולשות אבטחה בתוכנה המותקנת בשבבים. את החולשות הללו, המאפשרות לתוקפים להשיג שליטה מלאה במכשיר, כינו החוקרים בשם QuadRooter.

לחדור ולהשיג שליטה מלאה במכשיר

קוואלקום היא החברה המובילה בעולם לייצור שבבי סלולר, ושולטת בכ-65% משוק שבבי התקשורת מבוססי LTE. השבבים של קוואלקום מותקנים ביותר מ-900 מיליון מכשירים מבוססי אנדרואיד – המיוצרים על ידי חברות כמו סמסונג (Samsung), מוטורלה (Motorola), LG ו-HTC.

חוקרי צ'ק פוינט מצאו כי החולשות מצויות במנהלי ההתקן (drivers) שעל גבי השבבים. האקרים עלולים לנצל את חולשות QuadRooter כדי לחדור למערכת האנדרואיד ולהשיג שליטה מלאה במכשיר (root access). הרשאת root במכשיר מאפשרת לתוקף להוריד למכשיר אפליקציות זדוניות ובאמצעותן לבצע פעולות שונות, כמו מחיקה והוספה של אפליקציות, מעקב GPS, וגישה להתקני חומרה שעל גבי המכשיר – דוגמת מסך המגע, המצלמה והמיקרופון.

לאחר שחוקרי צ'ק פוינט דיווחו על החולשות, באפריל 2016, אנשי קוואלקום בדקו אותן וסיווגו כל אחת מהן כחולשה בסיכון גבוה. מאז, קוואלקום שחררה עדכוני גרסה עבור היצרנים והמפיצים של מכשירי האנדרואיד, על מנת שיבצעו עדכונים במערכות ההפעלה של המכשירים.

מיכאל שאולוב, מנהל מוצרי אבטחת המובייל, צ'ק פוינט, אמר כי "חולשות כמו Quadrooter מדגימות את הקושי באבטחת מכשירי אנדרואיד. שרשרת האספקה מורכבת, ויוצרת מצב שבו כל תיקון בתוכנה מצריך התקנה ייעודית – לכל מכשיר ולכל גרסה. תהליך זה עלול לקחת זמן, ולהותיר את המשתמשים ללא פתרון בתקופת הביניים".

להגיע לאפליקציות מוצפנות

לדבריו, "ניצול החולשות מביא לכך שההאקרים משיגים גישה לזיכרון של המכשיר, ומשם הם יכולים להגיע לאפליקציות מוצפנות, למייל ארגוני מוצפן או לסיסמאות גישה לחשבונות הבנק של המשתמשים".

מומחי אבטחה ציינו כי למרות חומרת הפגיעות, טרם דווח על האקרים שהצליחו לנצל אותן ולגנוב מידע. אלכס גנטמן, סגן נשיא להנדסה בקוואלקום, מסר כי הונפקו טלאים לכל החולשות, שעונים על הבעיות שבהן.

בין הטלפונים החכמים והטאבלטים המכילים את השבבים של קוואלקום מצויים:
● Google Nexus 5X ,6 ,6P
● Samsung Galaxy S7, S7 Edge
● LG G4 ,G5 ,V10
● HTC One M9 ,HTC 10
● OnePlus 3 ,2 ,One
● Sony Xperia Z Ultra
● New Moto X by Motorola
● BlackBerry Priv
● Blackphone 1 ,2

על מנת לצמצם את רמת הפגיעות ולמזער את היכולת של תוקפים לנצל חולשות כלשהן במכשירי הסלולר, בצ'ק פוינט ממליצים למשתמשי אנדרואיד להוריד את עדכוני הגרסה האחרונים ברגע שהם זמינים; להימנע מהורדת אפליקציות שלא דרך החנות הרשמית, Google Play; לקרוא היטב את ההרשאות שאפליקציות מבקשות לקבל ולשים לב האם ישנן בקשות שנראות חריגות או לא הכרחיות; להשתמש ברשתות Wi-Fi מוכרות ובטוחות.