Na, bet šį kartą saugumo spragos „Google“ ir „Samsung“ išmaniuosiuose telefonuose kol kas yra didžiausios, su kuriomis komandai teko susidurti.
Visų pirma tai, kad pašalinis asmuo gali pakankamai lengvai patekti į jūsų telefono programėles, kuriose naudojama kamera. Antra, įsibrovėlis nuotoliniu būdu gali daryti nuotraukas, įrašinėti vaizdo įrašus, klausytis ir įrašinėti jūsų pokalbius tada, kai pakeliate telefoną prie ausies – taip pat nustatyti jūsų buvimo vietą. Be to, labiausiai gąsdina tai, kad viskas gali būti atlikta taip, kad telefono savininkas nieko nepastebėtų.
„Google“ ir „Samsung“ kamerų pažeidžiamumas
„Checkmarx“ komanda pradėjo tyrinėti „Google“ telefonų „Pixel 2XL“ ir „Pixel 3“ kameras, ir galiausiai atrado keletą labai didelių saugumo spragų. Visos jos susijusios su tuo, kad žmogus, norintis patekti į jūsų telefoną, gali apeiti visus operacinės sistemos reikalavimus atlikti tam tikrus veiksmus.
„Mes atradome, kad bet kokia programa, be jokio panašaus leidimo, gali kontroliuoti kamerą. Tas pats galioja ir „Samsung“ telefonų kameroms“, – teigia saugumo komandos vadovė Erex Yalon.
Dėl šių spragų tam tikra kenkėjiška aplikacija per atstumą gali kontroliuoti kamerą, mikrofoną, taip pat prieiti prie GPS lokacijos duomenų. Pati „Android“ operacinė sistema visuomet pirmiausia paprašo vartotojo leidimo, kad galėtų atlikti tam tikrus veiksmus. Pavyzdžiui, turint naują telefoną ir norit į „Facebook“ įsikelti nuotrauką, telefonas prašys prieigos prie nuotraukų galerijos ir kameros – šį leidimą telefono savininkas gali suteikti arba ne.
Tačiau „Checkmax“ pakako sukurti kenkėjišką programą, kurioje yra prašoma leisti tik vieną labai dažną dalyką – prieiti prie telefono atminties, kuriose yra išsaugomi įvairūs duomenys.
„Taigi, telefone jau turime kenkėjišką programėlę, kuri turi prieigą prie mūsų atminties. Tai ne tik suteikia prieigą jai prie mūsų išsaugotų nuotraukų ir vaizdo įrašų, bet tuo pačiu leidžia daryti naujas nuotraukas ir vaizdo įrašus“, – sako E.Yalon.
Žinoma, iš karto kyla klausimas, kaip ta kenkėjiška programėlė patektų į telefoną – ar ją ten kaip nors įdiegtų pats programišius? Atsakymas gana paprastas: žmonės ją atsiųstų patys. „Checkmax“ savo programėlę apipavidalino kaip orų prognozės programėlę – jos populiarios, o iš pirmo žvilgsnio atrodo visai nekenksmingos. Be to, atsisiuntus ją buvo prašoma prieigos tik prie telefono saugyklos, kas paprastam žmogui gali pasirodyti įprasta.
Įdomu ir tai, kad žmonės yra labiau linkę suteikti prieigą toms programėlėms, kurios prašo vos kelių dalykų – pavyzdžiui, prieigos prie atminties ar galerijos. Tuo tarpu jei diegdami programėlę pamatytume pilną sąrašą įvairiausių sąlygų – greičiausiai ieškotume kitokio atitikmens.
„Checkmax“ sukurta kenkėjiška programėlė yra sudaryta iš dviejų dalių – pirmoji dalis veikia telefone kaip įprasta programėlė, tuo tarpu visa kita vyksta jos viduje. Antroji dalis suformuoja ryšį su komandiniu centru – kitaip sakant asmeniu, kuris įsilaužė į telefoną. Jis naudojant šį ryšį gali perduoti įvairiausias komandas.
Išjungus pačią programėlę, ryšys nenutrūkdavo, o tai reiškia, kad per tam tikrą laiką visos jūsų nuotraukos ar vaizdo įrašai gali atsidurti pašalinio asmens rankose. Be to, baimę kelia ir tai, kad jis bet kada jus galėtų fotografuoti, filmuoti ar įrašinėti pokalbius.
Ką sako „Google“?
Beveik iš karto po to kai žiniasklaidoje pasirodė naujienos apie tokias dideles saugumo spragas „Google“ ir „Android“ telefonuose, buvo susisiekta ir su pačia kompanija, kuri šią situaciją komentavo taip:
„Dėkojame „Checkmarx“, kad atrado šią spragą. Mes dirbame su savo partneriais, kad problemą išspręstume. Atnaujinimas jau yra prieinamas visiems mūsų partneriams“.
Tuo tarpu „Samsung“ bent jau kol kas jokio komentaro nepateikė. Tiesa, abi kompanijos ėmėsi spręsti problemą, todėl jei jūsų kameros programėlė yra atnaujinta – turėtumėte būti saugūs. Dar labiau apsisaugoti galima ir atsinaujinus savo operacinę sistemą, taip pat atsisiuntus visus reikiamus atnaujinimus.
Kitokia saugumo eksperto nuomonė
Ši didelė „Google“ ir „Samsung“ klaida tikrai neliko nepastebėta. Kibernetinių grėsmių žvalgybos ekspertas Ianas Thorntonas-Trumpas sako, kad išgirdus tokias naujienas, jam tiesiog atvipo žandikaulis. Be to, jis paminėjo ir tai, kad tai jam skambėjo ne kaip netyčinė saugumo spraga, bet specialiai sukurta terpė šnipinėjimui.
Anot jo, jei saugumo tyrinėtojai užsivožtų juodas kepures – juodakepuriai programišiai (angl. black hat hackers) yra programišiai, nepaklūstantys etikos standartams ir užsiimantys nelegalia veikla tam, kad pasipelnytų) – dėl tokių spragų jie laisvai galėtų užsidirbti šimtus tūkstančių dolerių.
„Visi esame saugesni dėl tokių tyrėjų kaip „Checkmarx“, – teigia jis. – Tačiau mokėti apsisaugoti turėtų ir kiekvienas išmanųjį telefoną turintis žmogus. Pirmiausia reikia atsisiųsti visus atnaujinimus, o jei jūsų telefonas per senas ir jam atnaujinimai nebeteikiami – tai reiškia, kad pats laikas jį atsinaujinti“.
Parengta pagal „Forbes“.