aA
„Checkmarx“ saugumo tyrimų komanda atrado saugumo spragas, keliančias pavojų „Google“ ir „Samsung“ išmaniųjų telefonų saugumui ir galinčias paveikti šimtus milijonų operacinės sistemos „Android“ naudotojų, rašo forbes.com. Ką gi aptiko tyrėjų komanda? Pasirodo, programišiai gali užvaldyti išmaniojo telefono kamerą valdančias programėles ir nuotoliniu būdu fotografuoti, filmuoti, slapta klausytis jūsų pokalbių juos įrašydami, nustatyti jūsų buvimo vietą ir t. t. Visi šie neteisėti veiksmai būtų tyliai atliekami fone, ir naudotojas ničnieko neįtartų.
„Google“ patvirtino saugumo spragą: klausosi pokalbių, filmuoja ir seka
© Reuters / Scanpix

„Google“ ir „Samsung“ kameros programėlių saugumo spragos

„Checkmarx“ saugumo komandai pradėjus analizuoti programėlę „Google Camera“, įdiegtą išmaniuosiuose telefonuose „Pixel 2XL“ ir „Pixel 3“, buvo rastos kelios saugumo spragos. Jos yra susijusios su trūkumais, leidžiančiais programišiams apeiti naudotojo teises. „Mūsų komanda rado būdą manipuliuoti tam tikrais veiksmais ir ketinimais, – sakė „Checkmarx“ saugumo tyrimų vadovas Erezas Yalonas. – Bet kuri programėlė gali valdyti „Google Camera“ net neturėdama konkrečių teisių.“ Atsižvelgiant į „Google“ ir „Samsung“ išmaniųjų telefonų populiarumą bei skaičių, šios saugumo spragos kelia rimtą pavojų šimtams milijonų naudotojų.

Dėl minėtųjų saugumo spragų kenkėjiška programėle galima nuotoliniu būdu perimti kameros ir mikrofono duomenų srautą bei GPS vietos informaciją. Tokių veiksmų padariniai yra pakankamai rimti, nes „Android“ skirtos atvirosios programinės įrangos projekto (angl. „Android Open Source Project“) dalyviai specialiai sukūrė keletą teisių, kurių naudotojo turi paprašyti bet kuri programėlė, norinti gauti prieigą prie telefono kameros ir vietos informacijos.

„Checkmarx“ komanda parengė kibernetinės atakos scenarijų, paremtą programėlės „Google Camera“ naudojimu kai kurioms teisėms apeiti. Tyrėjai sukūrė kenkimo programėlę, išnaudojančią vieną dažniausiai prašomų teisių – gauti prieigą prie duomenų kaupiklio. „Išmaniajame telefone su „Android“ operacine sistema veikianti kenkimo programėlė, kuri turi teisę nuskaityti SD kortelę, gauna prieigą ne tik prie anksčiau padarytų nuotraukų ir vaizdo įrašų – naudojant naująją metodologiją, galima fotografuoti ir filmuoti“, – pasakojo E. Yalonas.
Kaip programišiai galėtų pasinaudoti šiomis programėlės „Google Camera“ saugumo spragomis?

„Checkmarx“ sukūrė saugumo spragą išnaudojančią koncepcinę priemonę – orų prognozių programėlę, kurios įvairiausios atmainos be galo populiarios „Google Play Store“. Programėlė neprašo suteikti jokių specialių teisių, išskyrus prieigą prie duomenų kaupiklio. Kadangi ši teisė yra įprasta visoms programėlėms, naudotojams nekiltų jokių įtarimų, juk programėlė neprašo nieko keisto. Visgi „Checkmarx“ kūrinys nėra toks nekaltas, kaip gali pasirodyti iš pirmo žvilgsnio.

Jį sudaro dvi dalys: kliento programėlė, veikianti išmaniajame telefone, bei komandų ir valdymo serveris, prie kurio programėlė prisijungia, kai programišiai nusprendžia imtis piktų kėslų. Įdiegus ir atvėrus programėlę, sukuriamas nuolatinis ryšys su komandų ir valdymo serveriu, o tada programėlė laukia nurodymų. Užvėrus programėlę, ryšys nenutraukiamas. Kokias komandas gali siųsti programišiai ir kokius veiksmus atlikti?

  • Padaryti nuotrauką išmaniojo telefono kamera ir nusiųsti ją į komandų ir valdymo serverį.
  • Filmuoti išmaniojo telefono kamera ir nusiųsti vaizdo įrašą į komandų ir valdymo serverį.
  • Palaukti, kol bus pradėtas pokalbis, stebint išmaniojo telefono artumo jutiklį (taip galima nustatyti, kada telefonas pridedamas prie ausies), ir įrašyti pokalbį.
  • Slapta klausomų pokalbių metu programišiai taip pat galėtų vienu metu įrašinėti garsą ir filmuoti naudotoją.
  • Užvaldyti visų padarytų nuotraukų GPS žymes ir jas naudoti telefono savininko buvimo vietai nustatyti.
  • Gauti prieigą ir kopijuoti kaupiklyje saugomas nuotraukas ir vaizdo medžiagą, taip pat atakos metu padarytas nuotraukas.
  • Veikti nepastebimai, sumažinus išmaniojo telefono garsą, kai fotografuojama ir filmuojama, kad kameros skleidžiami garsai neatkreiptų naudotojo dėmesio.
  • Fotografuoti ir filmuoti galima neatsižvelgiant į tai, ar išmanusis telefonas yra užrakintas, ar atrakintas.


Programėlės „Google Camera“ saugumo spragų atskleidimo eiga

Informacijos apie aptiktas saugumo spragas atskleidimas buvo suderintas su „Google“ ir „Samsung“, siekiant užtikrinti, kad abi įmonės spėtų išleisti pataisas saugumo spragoms užkamšyti. Vis dėlto neoficialiai informacija apie saugumo spragas pradėjo sklisti liepos 4 d., kai „Checkmarx“ pateikė pažeidžiamumo ataskaitą „Google“ komandai, atsakingai už „Android“ saugumą. Liepos 13 d. nurodytas saugumo spragas „Google“ įvertino kaip vidutinio grėsmės lygio, tačiau, gavus daugiau informacijos iš „Checkmarx“, liepos 23 d. grėsmės lygis buvo pakeistas į aukštą. Rugpjūčio 1 d. „Google“ patvirtino, kad saugumo spragos paveikia platesnę „Android“ naudotojų dalį, įskaitant kitų gamintojų išmaniųjų telefonų turėtojus, o minėtosios saugumo spragos gavo savo įrašą duomenų bazėje (CVE-2019-2234). Rugpjūčio 18 d. buvo susisiekta su keliais prekiautojais išmaniaisiais telefonais, o rugpjūčio 29 d. „Samsung“ patvirtino, jog naujosios saugumo spragos kelia pavojų jų prietaisams.

Ką apie kameros programėlės saugumo spragas sako „Google“?

Įmonės atstovas spaudai pareiškė: „Dėkojame „Checkmarx“, kad mus informavo apie pažeidžiamumus bei bendradarbiavo su „Google“ ir „Android“ partneriais koordinuodami informacijos apie saugumo spragas atskleidimą. 2019 m. liepos mėnesį „Play Store“ atsirado atnaujinta „Google Camera“ versija, taip pat visi partneriai gali atsisiųsti pataisą.“
„Samsung“ kol kas nepateikė informacijos apie saugumo spragas. Būtina pabrėžti, jog duomenys apie pažeidžiamumus buvo paviešinti tik po to, kai „Google“ ir „Samsung“ išsprendė šią problemą. Taigi, jei turite naujausią savo kameros programėlės versiją, esate apsaugoti nuo pirmiau aprašytos atakos.

Tiesa, dėl viso pikto patariame atnaujinti „Android“ versiją ir įdiegti naujausias saugumo pataisas. Žinoma, taip pat įsitikinkite, kad kameros programėlės versija irgi yra naujausia.

Pritrenkianti saugumo eksperto nuomonė

Ianas Thorntonas-Trumpas, kibernetinių grėsmių ekspertas ir „CompTIA“ (Kompiuterinių technologijų pramonės asociacija) narys, buvo paprašytas įvertinti šių saugumo spragų rimtumą ir vaidmenį platesniame išmaniųjų telefonų saugumo kontekste. „Man atvipo žandikaulis, kai perskaičiau ataskaitą ir supratau, kokia pažeidžiama yra kameros programėlė, – sakė jis. – Problema net nepriminė įprasto pažeidžiamumo, o buvo labiau panaši į pažangią nuolatinę grėsmę, turinčią išsamią šnipinėjimo programą.“ I. Thorntonas-Trumpas pastebėjo, kad jeigu šias spragas būtų aptikę ne tokie sąžiningi žmonės, jie lengvai galėjo paversti savo atradimą šimtais tūkstančių dolerių. „Šiandien visi yra saugesni dėl nuostabių ir sąžiningų „Checkmarx“ tyrėjų veiksmų“, – teigė jis.

Kaip ir daugelis iš mūsų, kibernetinių grėsmių ekspertas džiaugiasi, kad „Google“ greitai sukūrė ir išleido pataisą, tačiau taip pat mano, jog, atsižvelgiant į saugumo spragų rimtumą ir poveikio platumą, „atėjo metas „Google“ panaudoti bent dalį saugumo analitikų komandos „Project Zero“ galimybių ir nuodugniai išnagrinėti visą „Android“ operacinę sistemą“.

Be jokios abejonės, didelis atskleistų „Android“ saugumo spragų skaičius kenkia prekių ženklui. Neseniai išaiškėjusi „baltojo mirties ekrano“ problema taip pat nepadėjo sutvirtinti operacinės sistemos reputacijos. „Google“ reikia įdėti daugiau pastangų ir užtikrinti naudotojus, kad „Android“ yra saugi ir apsaugo jų konfidencialumą. O kol kas I. Thorntonas-Trumpas siūlo visiems, telefone turintiems svarbių duomenų, nedelsiant atnaujinti programinę įrangą. „Jeigu negalite atnaujinti prietaiso programinės įrangos, nes jis yra per senas arba gamintojas nesuteikia tokių galimybių, laikas įsigyti naują prietaisą“, – primygtinai rekomenduoja ekspertas.

www.DELFI.lt
Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Įvertink šį straipsnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(38 žmonės įvertino)
4.3158

„Facebook“ pradeda kurti paralelinį pasaulį žmonijai: tai – neišvengiama ateitis (41)

„ Facebook “ pirmadienį pranešė burianti komandą iš įvairių aparatinės įrangos, žaidimų...

JAV inžinieriai sukūrė medžiagą, kuri yra plona it voratinklis, bet stipresnė už plieną ir kevlarą: kas tai? (8)

Voratinkliai — viena iš stipriausių medžiagų Žemėje. Panaudodammi genetiškai modifikuotas...

„Windows“ naudotojams – ekspertų patarimai: ką būtina žinoti apie naujausią programinės įrangos versija (16)

„ Windows “ kompiuterių savininkų laukia reikšmingiausias per pastaruosius šešerius metus...

Technologijos veržiasi į ES karinę pramonę: Lietuvos įmonėms – neeilinė galimybė sustiprinti šalies gynybą (4)

„Jeigu anksčiau technologijos ateidavo iš karybos srities į civilinį pasaulį, dabar...

Su robotais ateityje kalbėsime vis dažniau: lietuvių mokslininkai paaiškino, kaip keisis mūsų bendravimas (3)

Pirmasis pasaulyje pokalbių robotas (angl. Chatbot) buvo sukurtas dar iki atsirandant asmeniniams...

Top naujienos

Dėl tvoros pasienyje – daugiau klausimų nei atsakymų: kodėl iš tiesų koncertina aptverti vos keli kilometrai? (481)

Migrantų krizė išpopuliarino iki tol retesnį žodį – koncertina . Kitaip, nei įprasta...

Akcininkų konfliktas „Panevėžio keliuose“: prabilo apie milijoninę žalą ir patyčias (34)

Šių metų vasario 8 dieną vieną didžiausių Panevėžio darbdavių „Panevėžio kelius“...

Skvernelio ir Karbauskio konfliktas – vis aršesnis: feisbuko įraše aiški nuoroda (41)

Atrodo, kad Lietuvos valstiečių ir žaliųjų sąjungos (LVŽS) lyderio Ramūno Karbauskio ir LVŽS...

Izraelis sako nustatęs didžiausią virusą nešiojančios populiacijos dalį papildyta (1)

Izraelyje ypatingais atvejais nuo koronaviruso bus skiepijami vaikai nuo 5 m. amžiaus,...

Pasaulinį maisto tiekimą žlugdo sausros, potvyniai ir šalnos: gresia dar didesnis kainų augimas (46)

Ekstremalios orų sąlygos visame pasaulyje kenkia pasėliams, grasindamos tolesne maisto infliacija...

Ne, Macronas neatsisakė „sveikatos paso“ idėjos tik todėl, kad šalyje kilo protestai

Socialiniame tinkle „Facebook“ skelbiama, esą Prancūzija , susidūrusi su didžiuliu gyventojų...

Antradienį sulaikytas 171 migrantas, jų skaičius šiemet perkopė 3 tūkst.

Praėjusią parą, antradienį, pasieniečiai, pirminiais duomenimis, sulaikė 171 iš Baltarusijos...

Bidenas: Putinas turi realią problemą (107)

JAV prezidentas Joe Bidenas antradienį apkaltino savo Rusijos kolegą siekiant sutrikdyti 2022 m....

Auga susidomėjimas vyresnių žmonių įdarbinimu – jie turi išskirtinių savybių, tačiau dažnai patys sau kiša koją (17)

Besikeičianti darbo rinka rodo, jog dabar svarbiausiu veiksniu, lemiančiu konkurencingumą ir...