aA
„Checkmarx“ saugumo tyrimų komanda atrado saugumo spragas, keliančias pavojų „Google“ ir „Samsung“ išmaniųjų telefonų saugumui ir galinčias paveikti šimtus milijonų operacinės sistemos „Android“ naudotojų, rašo forbes.com. Ką gi aptiko tyrėjų komanda? Pasirodo, programišiai gali užvaldyti išmaniojo telefono kamerą valdančias programėles ir nuotoliniu būdu fotografuoti, filmuoti, slapta klausytis jūsų pokalbių juos įrašydami, nustatyti jūsų buvimo vietą ir t. t. Visi šie neteisėti veiksmai būtų tyliai atliekami fone, ir naudotojas ničnieko neįtartų.
„Google“ patvirtino saugumo spragą: klausosi pokalbių, filmuoja ir seka
© Reuters / Scanpix

„Google“ ir „Samsung“ kameros programėlių saugumo spragos

„Checkmarx“ saugumo komandai pradėjus analizuoti programėlę „Google Camera“, įdiegtą išmaniuosiuose telefonuose „Pixel 2XL“ ir „Pixel 3“, buvo rastos kelios saugumo spragos. Jos yra susijusios su trūkumais, leidžiančiais programišiams apeiti naudotojo teises. „Mūsų komanda rado būdą manipuliuoti tam tikrais veiksmais ir ketinimais, – sakė „Checkmarx“ saugumo tyrimų vadovas Erezas Yalonas. – Bet kuri programėlė gali valdyti „Google Camera“ net neturėdama konkrečių teisių.“ Atsižvelgiant į „Google“ ir „Samsung“ išmaniųjų telefonų populiarumą bei skaičių, šios saugumo spragos kelia rimtą pavojų šimtams milijonų naudotojų.

Dėl minėtųjų saugumo spragų kenkėjiška programėle galima nuotoliniu būdu perimti kameros ir mikrofono duomenų srautą bei GPS vietos informaciją. Tokių veiksmų padariniai yra pakankamai rimti, nes „Android“ skirtos atvirosios programinės įrangos projekto (angl. „Android Open Source Project“) dalyviai specialiai sukūrė keletą teisių, kurių naudotojo turi paprašyti bet kuri programėlė, norinti gauti prieigą prie telefono kameros ir vietos informacijos.

„Checkmarx“ komanda parengė kibernetinės atakos scenarijų, paremtą programėlės „Google Camera“ naudojimu kai kurioms teisėms apeiti. Tyrėjai sukūrė kenkimo programėlę, išnaudojančią vieną dažniausiai prašomų teisių – gauti prieigą prie duomenų kaupiklio. „Išmaniajame telefone su „Android“ operacine sistema veikianti kenkimo programėlė, kuri turi teisę nuskaityti SD kortelę, gauna prieigą ne tik prie anksčiau padarytų nuotraukų ir vaizdo įrašų – naudojant naująją metodologiją, galima fotografuoti ir filmuoti“, – pasakojo E. Yalonas.
Kaip programišiai galėtų pasinaudoti šiomis programėlės „Google Camera“ saugumo spragomis?

„Checkmarx“ sukūrė saugumo spragą išnaudojančią koncepcinę priemonę – orų prognozių programėlę, kurios įvairiausios atmainos be galo populiarios „Google Play Store“. Programėlė neprašo suteikti jokių specialių teisių, išskyrus prieigą prie duomenų kaupiklio. Kadangi ši teisė yra įprasta visoms programėlėms, naudotojams nekiltų jokių įtarimų, juk programėlė neprašo nieko keisto. Visgi „Checkmarx“ kūrinys nėra toks nekaltas, kaip gali pasirodyti iš pirmo žvilgsnio.

Jį sudaro dvi dalys: kliento programėlė, veikianti išmaniajame telefone, bei komandų ir valdymo serveris, prie kurio programėlė prisijungia, kai programišiai nusprendžia imtis piktų kėslų. Įdiegus ir atvėrus programėlę, sukuriamas nuolatinis ryšys su komandų ir valdymo serveriu, o tada programėlė laukia nurodymų. Užvėrus programėlę, ryšys nenutraukiamas. Kokias komandas gali siųsti programišiai ir kokius veiksmus atlikti?

  • Padaryti nuotrauką išmaniojo telefono kamera ir nusiųsti ją į komandų ir valdymo serverį.
  • Filmuoti išmaniojo telefono kamera ir nusiųsti vaizdo įrašą į komandų ir valdymo serverį.
  • Palaukti, kol bus pradėtas pokalbis, stebint išmaniojo telefono artumo jutiklį (taip galima nustatyti, kada telefonas pridedamas prie ausies), ir įrašyti pokalbį.
  • Slapta klausomų pokalbių metu programišiai taip pat galėtų vienu metu įrašinėti garsą ir filmuoti naudotoją.
  • Užvaldyti visų padarytų nuotraukų GPS žymes ir jas naudoti telefono savininko buvimo vietai nustatyti.
  • Gauti prieigą ir kopijuoti kaupiklyje saugomas nuotraukas ir vaizdo medžiagą, taip pat atakos metu padarytas nuotraukas.
  • Veikti nepastebimai, sumažinus išmaniojo telefono garsą, kai fotografuojama ir filmuojama, kad kameros skleidžiami garsai neatkreiptų naudotojo dėmesio.
  • Fotografuoti ir filmuoti galima neatsižvelgiant į tai, ar išmanusis telefonas yra užrakintas, ar atrakintas.


Programėlės „Google Camera“ saugumo spragų atskleidimo eiga

Informacijos apie aptiktas saugumo spragas atskleidimas buvo suderintas su „Google“ ir „Samsung“, siekiant užtikrinti, kad abi įmonės spėtų išleisti pataisas saugumo spragoms užkamšyti. Vis dėlto neoficialiai informacija apie saugumo spragas pradėjo sklisti liepos 4 d., kai „Checkmarx“ pateikė pažeidžiamumo ataskaitą „Google“ komandai, atsakingai už „Android“ saugumą. Liepos 13 d. nurodytas saugumo spragas „Google“ įvertino kaip vidutinio grėsmės lygio, tačiau, gavus daugiau informacijos iš „Checkmarx“, liepos 23 d. grėsmės lygis buvo pakeistas į aukštą. Rugpjūčio 1 d. „Google“ patvirtino, kad saugumo spragos paveikia platesnę „Android“ naudotojų dalį, įskaitant kitų gamintojų išmaniųjų telefonų turėtojus, o minėtosios saugumo spragos gavo savo įrašą duomenų bazėje (CVE-2019-2234). Rugpjūčio 18 d. buvo susisiekta su keliais prekiautojais išmaniaisiais telefonais, o rugpjūčio 29 d. „Samsung“ patvirtino, jog naujosios saugumo spragos kelia pavojų jų prietaisams.

Ką apie kameros programėlės saugumo spragas sako „Google“?

Įmonės atstovas spaudai pareiškė: „Dėkojame „Checkmarx“, kad mus informavo apie pažeidžiamumus bei bendradarbiavo su „Google“ ir „Android“ partneriais koordinuodami informacijos apie saugumo spragas atskleidimą. 2019 m. liepos mėnesį „Play Store“ atsirado atnaujinta „Google Camera“ versija, taip pat visi partneriai gali atsisiųsti pataisą.“
„Samsung“ kol kas nepateikė informacijos apie saugumo spragas. Būtina pabrėžti, jog duomenys apie pažeidžiamumus buvo paviešinti tik po to, kai „Google“ ir „Samsung“ išsprendė šią problemą. Taigi, jei turite naujausią savo kameros programėlės versiją, esate apsaugoti nuo pirmiau aprašytos atakos.

Tiesa, dėl viso pikto patariame atnaujinti „Android“ versiją ir įdiegti naujausias saugumo pataisas. Žinoma, taip pat įsitikinkite, kad kameros programėlės versija irgi yra naujausia.

Pritrenkianti saugumo eksperto nuomonė

Ianas Thorntonas-Trumpas, kibernetinių grėsmių ekspertas ir „CompTIA“ (Kompiuterinių technologijų pramonės asociacija) narys, buvo paprašytas įvertinti šių saugumo spragų rimtumą ir vaidmenį platesniame išmaniųjų telefonų saugumo kontekste. „Man atvipo žandikaulis, kai perskaičiau ataskaitą ir supratau, kokia pažeidžiama yra kameros programėlė, – sakė jis. – Problema net nepriminė įprasto pažeidžiamumo, o buvo labiau panaši į pažangią nuolatinę grėsmę, turinčią išsamią šnipinėjimo programą.“ I. Thorntonas-Trumpas pastebėjo, kad jeigu šias spragas būtų aptikę ne tokie sąžiningi žmonės, jie lengvai galėjo paversti savo atradimą šimtais tūkstančių dolerių. „Šiandien visi yra saugesni dėl nuostabių ir sąžiningų „Checkmarx“ tyrėjų veiksmų“, – teigė jis.

Kaip ir daugelis iš mūsų, kibernetinių grėsmių ekspertas džiaugiasi, kad „Google“ greitai sukūrė ir išleido pataisą, tačiau taip pat mano, jog, atsižvelgiant į saugumo spragų rimtumą ir poveikio platumą, „atėjo metas „Google“ panaudoti bent dalį saugumo analitikų komandos „Project Zero“ galimybių ir nuodugniai išnagrinėti visą „Android“ operacinę sistemą“.

Be jokios abejonės, didelis atskleistų „Android“ saugumo spragų skaičius kenkia prekių ženklui. Neseniai išaiškėjusi „baltojo mirties ekrano“ problema taip pat nepadėjo sutvirtinti operacinės sistemos reputacijos. „Google“ reikia įdėti daugiau pastangų ir užtikrinti naudotojus, kad „Android“ yra saugi ir apsaugo jų konfidencialumą. O kol kas I. Thorntonas-Trumpas siūlo visiems, telefone turintiems svarbių duomenų, nedelsiant atnaujinti programinę įrangą. „Jeigu negalite atnaujinti prietaiso programinės įrangos, nes jis yra per senas arba gamintojas nesuteikia tokių galimybių, laikas įsigyti naują prietaisą“, – primygtinai rekomenduoja ekspertas.

www.DELFI.lt
Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
|Populiariausi straipsniai ir video
Įvertink šį straipsnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(35 žmonės įvertino)
4.3143

Turi beprotišką idėją: tiki, kad arčiausiai Saulės esančioje planetoje ras gyvybę (5)

Remiantis naujai pasirodžiusio mokslinio tyrimo rezultatais, tikėtina, kad arčiausiai Saulės...

Mobiliojo interneto lenktynės įsibėgėja: skelbia sparčiausią operatorių (6)

Praėjus pirmajam 2020 metų ketvirčiui, mobiliojo interneto greičio lenktynėse „ Telia “...

Garsioji „WhatsApp“ programėlė turi problemų: skelbiama apie apribojimus vartotojams

Dėl karantino pastebimas ženkliai išaugęs interneto vartotojų skaičius. Kad palengvintų...

5 receptų programėlės Velykų stalui: įkvėps net ir pavargusius gaminti (1)

Daugelis žmonių jau šiandien pradeda galvoti, kaip karantine reikės praleisti laukiamiausią...

Naujieji „Samsung” flagmanai stojo į kovą: palygino ir su prabangiu „iPhone“, ir pigiu „Xiaomi“ apžvalga (66)

Šių metų pagrindiniai „ Samsung Galaxy S” serijos flagmanai pristatyti vasario mėnesį bando...

Top naujienos

Karantinas tęsiamas dviem savaitem, bet apsispręsta ir dėl keleto palengvinimų per Velykas uždrausta vykti į kitus miestus (48)

Ministrų kabinetas trečiadienį rinkosi į Vyriausybės posėdį, kuriame svarstė apie karantino...

Veryga patikslino: net jei karantinas švelnės, kai kurios paslaugos sugrįš labai negreitai (155)

Nors trečiadienį Vyriausybėje karantino laikotarpis bus dar pratęstas bent dviem savaitėms,...

Po iš Santarų pabėgusios moters kelionės autobusu – siūlo visiems keleiviams izoliuotis jai patvirtintas koronavirusas (465)

Antradienį Vilniuje iš Santaros klinikų Infekcinių ligų centro per langą pabėgusi moteris (gim....

Prieš šventes – priminimas iš bankų: įprastiniai pavedimai nebus vykdomi 4 dienas

Kaip jau tampa įprasta, bankai primena, kad šventiniu laikotarpiu įprastiniai pavedimai tarp bankų...

Koronavirusu susirgęs Marijampolės medikas savaitgalį budėjo ir Lazdijų ligoninėje (2)

Marijampolės ligoninėje trūkęs koronaviruso židinys gali būti pasklidęs plačiau nei buvo...

Lietuvoje dėl koronaviruso 21 asmens būklė yra sunki papildyta 12.49; vasaros renginių siūlo dar neatšaukti (154)

Sveikatos apsaugos ministras Aurelijus Veryga trečiadienį pristatė naujienas, susijusias su...

Astravo atominėje elektrinėje – 15 koronaviruso atvejų: skelbiama, kad visi užsikrėtusieji Rusijos piliečiai papildyta (64)

Identifikuota 15 koronavirusu užsikrėtusių Rusijos piliečių, atvykusių į Astravo atominę...

Dar viena ES šalis švelnina karantino gniaužtus – atidaro mažas parduotuves, leis būtinas keliones į užsienį (131)

Lietuvos vyriausybei svarstant, kaip galėtų būti švelninamas karantinas, dar viena Europos...

Prieš artėjančias Velykas – slaugytojos kreipimasis: padėkite mums (271)

Slaugytoja Vera savo feisbuko paskyroje pasidalino kreipimųsi į visuomenę artėjant Šv. Velykoms...

Iš savivaldybių – įspėjimo signalai: dėl mažėjančių GPM įplaukų gali tekti priimti sunkius sprendimus (114)

Siekdamos suvaldyti koronaviruso situaciją ir dėl šalyje įvesto karantino savivaldybės visoje...

|Maža didelių žinių kaina