חוקרים ישראלים מיבמ חשפו פרצת אבטחה חמורה באנדרואיד
לפרצה היו חשופים יותר מ-55% ממשתמשי אנדרואיד בכל העולם, בגרסאות 4.3 עד 5.1
חוקרי אבטחה מיבמ (IBM) ישראל איתרו פרצת אבטחה חמורה במערכת ההפעלה אנדרואיד (Android).
הפרצה חושפת 55% ממשתמשי מערכת ההפעלה, בגרסאות 4.3 עד 5.1, לסיכון של השתלטות על המכשיר שלהם, באמצעות העלאת רמת ההרשאות של אפליקציה זדונית עד למצב בו היא חושפת את המערכת לניהול על ידי פורצים.
בדומה לפרצה במערכת ההפעלה עצמה, זוהו גם פרצות מקבילות בערכות פיתוח תוכנה (SDK) לסביבת אנדרואיד, המוצעות על ידי צדדים שלישיים.
אור פלס ורועי חי, אנשי צוות מחקר האבטחה בקבוצת X-Force של יבמ, גילו כי פורצים המצוידים בכלים המתאימים מסוגלים לעקוף גם את המשתמשים הזהירים ביותר. במאמר הנושא את הכותרת "One Class to Rule Them All" המוצג השבוע בכנס אקדמי בינלאומי בוושינגטון, USENIX WOOT ’15, הם מראים כי די במחלקה אחת פגיעה, אותה זיהו בפלטפורמת אנדרואיד, על מנת להשתלט לחלוטין על המכשיר בעזרת הטכניקה המתוארת.
ככל הידוע, עד היום לא נעשה שימוש בפרצה הזאת. תקיפה דומה אשר ניצלה חולשת אבטחה שונה (וידועה), שימשה את Hacking Team האיטלקית, שנפרצה בעצמה לפני חודש. זו הציעה אפליקציית חינם בשם "BeNews" באמצעות החנות של גוגל (Google). האפליקציה הצליחה לעקוף את מנגנוני ההגנה של החנות ושל מכשירי הקצה בשל העובדה שלא דרשה עם התקנתה זכויות יתר כלשהן, המאפשרות לה גישה אל מערכת ההפעלה או אל יישומים אחרים. רק אחר כך, באמצעות עדכון קוד נוסף אותו הזרימה, קיבלה האפליקציה הרשאות ברמה הגבוהה ביותר, שאפשרו לפורצים להשתלט על המערכת.
חיכו עד ליציאת טלאי האבטחה
חוקרי יבמ מסרו פרטים מלאים אודות הפרצה לגוגל, המפתחת את אנדרואיד, ולחברות המציעות את ערכות הפיתוח לסביבה הזאת, על מנת שידאגו לסגירתן. הפרסום נעשה רק לאחר שהובטחה זמינות טלאי האבטחה המתאימים.
מפתחים בסביבת אנדרואיד משתמשים במחלקות על מנת לספק פונקציונליות למגוון אפליקציות, דוגמת גישה לרשת או גישה למצלמת המכשיר הסלולרי. הפרצה אותה זיהו הישראלים, חי ופלס, מאפשרת לנוזקה לנצל את ערוצי התקשורת המתנהלים בין אפליקציות או שירותים, במסגרת מערכת ההפעלה. לצורך התקשורת הזאת מפורק המידע לרכיבים ומורכב שוב בחזרה. אלא שהזרקת קוד זדוני אל תוך רצף התקשורת מנצלת את הפרצה בצד המקבל שלה על מנת להשתלט על המכשיר כולו.
חוקרי יבמ הראו כיצד ניתן לבצע את הפריצה באמצעות התקפה על תהליך מסוים (System server), אשר רץ במסגרת מערכת ההפעלה. פורץ המשתלט על התהליך יוכל לגרום לנזקים רבים בשל ההרשאות הגבוהות המוקצות לתהליך הזה, מעצם מבנה מערכת ההפעלה. כך, למשל, יכול הפורץ לבצע פעולות בשמו של הקורבן על ידי החלפת אפליקציות קיימות בזדוניות, לגנוב נתונים מאפליקציות מותקנות דוגמת פרטי סיסמאות וגישה למערכות בנקאיות, ואף לשנות במקרים מסוימים את הגדרות האבטחה של המכשיר כולו, ולטעון מודולים זדוניים אל תוך ליבת מערכת ההפעלה.
מומחי הענק הכחול ממליצים על שינויים ושיפורים בפונקציה מסוימת (Deserialization) ברמת מערכת ההפעלה, באופן שיבטיח כי גם אם תתגלה פרצה אחרת היא תהיה מוגבלת בהיקף הפגיעה אותה היא מסוגלת לגרום. החוקרים מציעים גם מנגנוני הגנה נגד ניצול הפרצה עצמה, למשל הקצאת אזורים מסוימים בזיכרון לקריאה בלבד, באופן שיימנע שינויים זדוניים באזורים אלה בעת ניסיון ניצול פרצה עתידית.
תגובות
(0)