Gmail פוצח: נחשפה שיטה לפריצת המייל של גוגל
מתבססת על שימוש באפליקציה שמותקנת על מכשירי אנדרואיד. בעזרת שיטה זו אפשר לחדור לאפליקציות רבות, אך דווקא שירות המייל הפופולרי של גוגל התגלה כקל לפריצה מיישומים אחרים. להערכת מומחי אבטחה, ניתן לפרוץ כך גם ב-iOS
חוקרים מאוניברסיטת מישיגן וקליפורניה הציגו במהלך כנס USENIX שיטה חדשנית לפריצת אפליקציות אנדרואיד. החוקרים יצרו אפליקציה זדונית שאיפשרה להם לגנוב שמות משתמש וסיסמאות מאפליקציות שמותקנות על המכשיר.
- סמסונג השיקה את פלטפורמת KNOX בישראל
- פריצה אטומית: האקרים חדרו למחשבי רשות גרעין בארה"ב
- טכנולוגיה נגד הונאות פיננסיות: כשהבנק תופס אותך בחופשה בסיישל
האפליקציה הקלה ביותר לפריצה הייתה זו של ג'ימייל, שנכנעה ב-92% מהניסיונות. אולם החוקרים הצליחו גם לפרוץ לאפליקציות של אמזון, WebMD, בנק צ'ייס, Hotels.com ועוד. לזכותה של אמזון ייאמר כי האפליקציה שלה הייתה הקשה ביותר לפריצה עם אחוז הצלחה של כ-48%.
החוקרים הצליחו לפרוץ את אפליקציית ג'ימייל שנכנעה ב-92% מהמקרים
איך זה עובד?
המשתמש מוריד אפליקציה תמימה למראה, כגון שומר מסך או טפט. הנוזקה שמכילה האפליקציה חודרת לזיכרון המשותף, בו משתמשות כל האפליקציות המותקנות על המכשיר. על ידי ניטור הפעילות של האפליקציות בזיכרון, החוקרים הצליחו למצוא מתי מתחברת האפליקציה לשרתי גוגל והחברות האחרות וליירט את הסיסמה ושם המשתמש.
"ההנחה המקובלת בקרב המפתחים היא שאפליקציות אינן יכולות להפריע אחת לשנייה", הסביר ז'יון קיאן, אחד החוקרים. "המחקר הראה שלמעשה אין שום בעיה שאפליקציה אחת תשפיע על אחרת, תוך כדי גרימת נזק למשתמש", אמר. החוקרים העבירו לחברות את ממצאי פעילות הנוזקה שפיתחו, במטרה לאפשר להן למגן טוב יותר את האפליקציות.
במקרה אחר, הצליחו החוקרים לפרוץ לאחת התכונות הייעודיות של אפליקציית הבנקאות המקוונת של צ'ייס בנק. התכונה מאפשרת תשלום בצ'ק על ידי צילומו דרך האפליקציה. החוקרים הצליחו לחדור למצלמה ולגנוב את התמונה של הצ'ק, מה שנתן להם גישה לתצלום של חתימת הלקוח ופרטי חשבונו.
עוד הוסיפו החוקרים שהפירצה אמנם זוהתה באנדרואיד, אך אין זה אומר שמערכות הפעלה אחרות בטוחות יותר. "אנחנו מאמינים שניתן לבצע את הפריצה גם ב-iOS של אפל וגם בווינדוס פון של מיקרוסופט", סיכמו החוקרים את המצגת שלהם.
