aA
„Checkmarx“ saugumo tyrimų komanda atrado saugumo spragas, keliančias pavojų „Google“ ir „Samsung“ išmaniųjų telefonų saugumui ir galinčias paveikti šimtus milijonų operacinės sistemos „Android“ naudotojų, rašo forbes.com. Ką gi aptiko tyrėjų komanda? Pasirodo, programišiai gali užvaldyti išmaniojo telefono kamerą valdančias programėles ir nuotoliniu būdu fotografuoti, filmuoti, slapta klausytis jūsų pokalbių juos įrašydami, nustatyti jūsų buvimo vietą ir t. t. Visi šie neteisėti veiksmai būtų tyliai atliekami fone, ir naudotojas ničnieko neįtartų.
„Google“ patvirtino saugumo spragą: klausosi pokalbių, filmuoja ir seka
© Reuters / Scanpix

„Google“ ir „Samsung“ kameros programėlių saugumo spragos

„Checkmarx“ saugumo komandai pradėjus analizuoti programėlę „Google Camera“, įdiegtą išmaniuosiuose telefonuose „Pixel 2XL“ ir „Pixel 3“, buvo rastos kelios saugumo spragos. Jos yra susijusios su trūkumais, leidžiančiais programišiams apeiti naudotojo teises. „Mūsų komanda rado būdą manipuliuoti tam tikrais veiksmais ir ketinimais, – sakė „Checkmarx“ saugumo tyrimų vadovas Erezas Yalonas. – Bet kuri programėlė gali valdyti „Google Camera“ net neturėdama konkrečių teisių.“ Atsižvelgiant į „Google“ ir „Samsung“ išmaniųjų telefonų populiarumą bei skaičių, šios saugumo spragos kelia rimtą pavojų šimtams milijonų naudotojų.

Dėl minėtųjų saugumo spragų kenkėjiška programėle galima nuotoliniu būdu perimti kameros ir mikrofono duomenų srautą bei GPS vietos informaciją. Tokių veiksmų padariniai yra pakankamai rimti, nes „Android“ skirtos atvirosios programinės įrangos projekto (angl. „Android Open Source Project“) dalyviai specialiai sukūrė keletą teisių, kurių naudotojo turi paprašyti bet kuri programėlė, norinti gauti prieigą prie telefono kameros ir vietos informacijos.

„Checkmarx“ komanda parengė kibernetinės atakos scenarijų, paremtą programėlės „Google Camera“ naudojimu kai kurioms teisėms apeiti. Tyrėjai sukūrė kenkimo programėlę, išnaudojančią vieną dažniausiai prašomų teisių – gauti prieigą prie duomenų kaupiklio. „Išmaniajame telefone su „Android“ operacine sistema veikianti kenkimo programėlė, kuri turi teisę nuskaityti SD kortelę, gauna prieigą ne tik prie anksčiau padarytų nuotraukų ir vaizdo įrašų – naudojant naująją metodologiją, galima fotografuoti ir filmuoti“, – pasakojo E. Yalonas.
Kaip programišiai galėtų pasinaudoti šiomis programėlės „Google Camera“ saugumo spragomis?

„Checkmarx“ sukūrė saugumo spragą išnaudojančią koncepcinę priemonę – orų prognozių programėlę, kurios įvairiausios atmainos be galo populiarios „Google Play Store“. Programėlė neprašo suteikti jokių specialių teisių, išskyrus prieigą prie duomenų kaupiklio. Kadangi ši teisė yra įprasta visoms programėlėms, naudotojams nekiltų jokių įtarimų, juk programėlė neprašo nieko keisto. Visgi „Checkmarx“ kūrinys nėra toks nekaltas, kaip gali pasirodyti iš pirmo žvilgsnio.

Jį sudaro dvi dalys: kliento programėlė, veikianti išmaniajame telefone, bei komandų ir valdymo serveris, prie kurio programėlė prisijungia, kai programišiai nusprendžia imtis piktų kėslų. Įdiegus ir atvėrus programėlę, sukuriamas nuolatinis ryšys su komandų ir valdymo serveriu, o tada programėlė laukia nurodymų. Užvėrus programėlę, ryšys nenutraukiamas. Kokias komandas gali siųsti programišiai ir kokius veiksmus atlikti?

  • Padaryti nuotrauką išmaniojo telefono kamera ir nusiųsti ją į komandų ir valdymo serverį.
  • Filmuoti išmaniojo telefono kamera ir nusiųsti vaizdo įrašą į komandų ir valdymo serverį.
  • Palaukti, kol bus pradėtas pokalbis, stebint išmaniojo telefono artumo jutiklį (taip galima nustatyti, kada telefonas pridedamas prie ausies), ir įrašyti pokalbį.
  • Slapta klausomų pokalbių metu programišiai taip pat galėtų vienu metu įrašinėti garsą ir filmuoti naudotoją.
  • Užvaldyti visų padarytų nuotraukų GPS žymes ir jas naudoti telefono savininko buvimo vietai nustatyti.
  • Gauti prieigą ir kopijuoti kaupiklyje saugomas nuotraukas ir vaizdo medžiagą, taip pat atakos metu padarytas nuotraukas.
  • Veikti nepastebimai, sumažinus išmaniojo telefono garsą, kai fotografuojama ir filmuojama, kad kameros skleidžiami garsai neatkreiptų naudotojo dėmesio.
  • Fotografuoti ir filmuoti galima neatsižvelgiant į tai, ar išmanusis telefonas yra užrakintas, ar atrakintas.


Programėlės „Google Camera“ saugumo spragų atskleidimo eiga

Informacijos apie aptiktas saugumo spragas atskleidimas buvo suderintas su „Google“ ir „Samsung“, siekiant užtikrinti, kad abi įmonės spėtų išleisti pataisas saugumo spragoms užkamšyti. Vis dėlto neoficialiai informacija apie saugumo spragas pradėjo sklisti liepos 4 d., kai „Checkmarx“ pateikė pažeidžiamumo ataskaitą „Google“ komandai, atsakingai už „Android“ saugumą. Liepos 13 d. nurodytas saugumo spragas „Google“ įvertino kaip vidutinio grėsmės lygio, tačiau, gavus daugiau informacijos iš „Checkmarx“, liepos 23 d. grėsmės lygis buvo pakeistas į aukštą. Rugpjūčio 1 d. „Google“ patvirtino, kad saugumo spragos paveikia platesnę „Android“ naudotojų dalį, įskaitant kitų gamintojų išmaniųjų telefonų turėtojus, o minėtosios saugumo spragos gavo savo įrašą duomenų bazėje (CVE-2019-2234). Rugpjūčio 18 d. buvo susisiekta su keliais prekiautojais išmaniaisiais telefonais, o rugpjūčio 29 d. „Samsung“ patvirtino, jog naujosios saugumo spragos kelia pavojų jų prietaisams.

Ką apie kameros programėlės saugumo spragas sako „Google“?

Įmonės atstovas spaudai pareiškė: „Dėkojame „Checkmarx“, kad mus informavo apie pažeidžiamumus bei bendradarbiavo su „Google“ ir „Android“ partneriais koordinuodami informacijos apie saugumo spragas atskleidimą. 2019 m. liepos mėnesį „Play Store“ atsirado atnaujinta „Google Camera“ versija, taip pat visi partneriai gali atsisiųsti pataisą.“
„Samsung“ kol kas nepateikė informacijos apie saugumo spragas. Būtina pabrėžti, jog duomenys apie pažeidžiamumus buvo paviešinti tik po to, kai „Google“ ir „Samsung“ išsprendė šią problemą. Taigi, jei turite naujausią savo kameros programėlės versiją, esate apsaugoti nuo pirmiau aprašytos atakos.

Tiesa, dėl viso pikto patariame atnaujinti „Android“ versiją ir įdiegti naujausias saugumo pataisas. Žinoma, taip pat įsitikinkite, kad kameros programėlės versija irgi yra naujausia.

Pritrenkianti saugumo eksperto nuomonė

Ianas Thorntonas-Trumpas, kibernetinių grėsmių ekspertas ir „CompTIA“ (Kompiuterinių technologijų pramonės asociacija) narys, buvo paprašytas įvertinti šių saugumo spragų rimtumą ir vaidmenį platesniame išmaniųjų telefonų saugumo kontekste. „Man atvipo žandikaulis, kai perskaičiau ataskaitą ir supratau, kokia pažeidžiama yra kameros programėlė, – sakė jis. – Problema net nepriminė įprasto pažeidžiamumo, o buvo labiau panaši į pažangią nuolatinę grėsmę, turinčią išsamią šnipinėjimo programą.“ I. Thorntonas-Trumpas pastebėjo, kad jeigu šias spragas būtų aptikę ne tokie sąžiningi žmonės, jie lengvai galėjo paversti savo atradimą šimtais tūkstančių dolerių. „Šiandien visi yra saugesni dėl nuostabių ir sąžiningų „Checkmarx“ tyrėjų veiksmų“, – teigė jis.

Kaip ir daugelis iš mūsų, kibernetinių grėsmių ekspertas džiaugiasi, kad „Google“ greitai sukūrė ir išleido pataisą, tačiau taip pat mano, jog, atsižvelgiant į saugumo spragų rimtumą ir poveikio platumą, „atėjo metas „Google“ panaudoti bent dalį saugumo analitikų komandos „Project Zero“ galimybių ir nuodugniai išnagrinėti visą „Android“ operacinę sistemą“.

Be jokios abejonės, didelis atskleistų „Android“ saugumo spragų skaičius kenkia prekių ženklui. Neseniai išaiškėjusi „baltojo mirties ekrano“ problema taip pat nepadėjo sutvirtinti operacinės sistemos reputacijos. „Google“ reikia įdėti daugiau pastangų ir užtikrinti naudotojus, kad „Android“ yra saugi ir apsaugo jų konfidencialumą. O kol kas I. Thorntonas-Trumpas siūlo visiems, telefone turintiems svarbių duomenų, nedelsiant atnaujinti programinę įrangą. „Jeigu negalite atnaujinti prietaiso programinės įrangos, nes jis yra per senas arba gamintojas nesuteikia tokių galimybių, laikas įsigyti naują prietaisą“, – primygtinai rekomenduoja ekspertas.

www.DELFI.lt
Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Įvertink šį straipsnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(38 žmonės įvertino)
4.3158
Login.ltDelfi Mokslas

Inžinieriai automobiliui sumontavo revoliucinę technologiją, kuri apsaugos pėsčiuosius nuo mirtinos nelaimės: eksperimento rezultatai pranoko lūkesčius

Inžinieriai automobiliui sumontavo „akis“, kad keliai ateityje būtų saugesni pėstiesiems.

Išbandė naujausią „Asus Zenfone 9“: įspūdingos kameros ir procesoriaus galimybės, bet jei suges – prasikeiksite

Tiems, kurie vis dar nežino, tai „ Asus “ gamina telefonus, kurie pakankamai patrauklus ir...

Lietuvos kariuomenė žvalgosi į ateities technologijas: ko tikėtis 2040 metais?

Lietuvos kariuomenės Mokymo ir doktrinų valdybos vadovybės Karybos institutas kartu su Generolo...

Mobiliųjų žaidimų kūrimo užkulisiai: štai kaip sukurti hitą

Skaičiuojama, kad mobiliuosius žaidimus visame pasaulyje 2021 m. žaidė apie 3,5 mlrd. žmonių,...

Login.ltDelfi Mokslas

Inžinieriai žada išsigelbėjimą kenčiantiems nuo nemigos – tai išmani pagalvė, stebinti galvos padėtį

Miegas yra nepaprastai svarbus mūsų gerai fizinei ir psichinei sveikatai. Vis dėlto daugybei...

Top naujienos

Kremliaus gerbėjai iš Lietuvos žengia į Europą: nesidrovėdami šalį dergė tarptautinėje konferencijoje (10)

Varšuvoje vykstančiuose ESBO žmogiškojo matmens konferencijos renginiuose dalyvaujantys...

Karas Ukrainoje. Dėl įvykių Chersono srityje – netikėtas Rusijos gynybos ministerijos pranešimas

Rusijai nespėjus atsigauti po rimtų pralaimėjimų (įskaitant ir žalą įvaizdžiui) Charkivo...

Vilniuje melagingai pranešta apie nukritusį lėktuvą (2)

BPC gautas pranešimas, kad Vilniuje nukrito lėktuvėlis. Pasak pranešėjo, pilotas – Neryje....

Dėl Ukrainos regionų prijungimo – naujas cirkas Rusijos Dūmoje

Pirmadienį Rusijos Dūmos posėdyje dėl keturių Ukrainos regionų prijungimo prie Rusijos...

Rusija grasina atsakyti į Lietuvos sprendimą (11)

Lietuvos užsienio reikalų ministerija anksčiau iškviestam Rusijos ambasados atstovui įteikė...

Julija Petrovskaja, delfi.lv

Tradicinių dvasinių ir moralinių vertybių gynėja: Rusija išleido dokumentą savo paraleliniam pasauliui

Rugsėjo 5 dieną Kremliaus paskelbė Rusijos humanitarinės politikos užsienyje koncepciją, kurioje...

Žilvinas Žvagulis gavo penkiaženklę sąskaitą už elektrą: pasidalino neeiline savo reakcija (5)

„Parodyt? Pratrydau“, – tūpdamas prieš televizijos kamerą savo kepyklos kieme sakys...

Perspėja valdančiuosius: sėkmės atveju koalicija gali subyrėti

Politinėms partijoms tvirtinant kandidatų į merus sąrašus, tarp jų pasirodo vis daugiau Seimo...

Po Estijos premjerės pareiškimo apie galimą Rusijos planą Baltijos šalims kilo sąmyšis (6)

Sąmyšis Estijoje – šalies premjerė Kalja Kallas pareiškė, kad Baltijos šalims Rusija gali...

Dargis įvertino, kiek truks krizė: begalinės bankrotų bangos neprognozuoja

Lietuva jau tikrai yra priartėjusi prie ekonominės krizės ribos, tačiau sunkmetis truks metus ar...