מה שאתה צריך לדעת
- מיקרוסופט חשפה נקודות תורפה חמורות באפליקציות אנדרואיד שהותקנו מראש עם מיליוני הורדות.
- פגמי האבטחה היו יכולים לאפשר לתוקפים להחדיר גישה לדלת אחורית או להשיג שליטה על מיליוני מכשירים.
- גוגל וגורמים מודאגים אחרים כבר תיקנו את נקודות התורפה.
חבורה של ליקויי אבטחה חמורים במסגרת סלולרית המשמשת לאפליקציות אנדרואיד מותקנות מראש מספקי שירותים ניידים שונים עלולות לסכן מיליוני מכשירים. למיקרוסופט יש חשף את הפגיעות הללו, שתוקנו מאז.
המסגרת הניידת המושפעת פותחה על ידי mce Systems, ספקית ישראלית של ניהול מחזור חיים של מכשירים רב-ערוצים. מיקרוסופט אמרה שהיא זיהתה בתחילה את פגמי האבטחה בספטמבר 2021 והודיעה ל-mce Systems וכן לספקי שירותי סלולר מושפעים על ממצאיה.
מיקרוסופט זיהתה את הפגיעויות כ-CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 ו-CVE-2021-42601, עם ציון של 7.0-8.9 (חומרה גבוהה).
הפגיעויות השפיעו על אפליקציות עם מיליוני הורדות, ועשויות לחשוף משתמשים להתקפות מרוחקות או מקומיות. לפי צוות 365 Defender Research Team של מיקרוסופט, הפגמים היו יכולים לתת לתוקפים גישה לדלת אחורית או לאפשר להם להשיג "שליטה משמעותית" על מכשירים פגיעים.
"הניתוח שלנו מצא עוד שהאפליקציות הוטמעו בתמונת המערכת של המכשירים, מה שמצביע על כך שהם יישומי ברירת מחדל שהותקנו על ידי ספקי טלפון", הסבירה מיקרוסופט. "כל האפליקציות זמינות בחנות Google Play שבה הן עוברות את בדיקות הבטיחות האוטומטיות של Google Play Protect, אך הבדיקות הללו לא סרקו בעבר לאיתור בעיות מסוג זה."
פגמי האבטחה תוקנו מאז לאחר שמיקרוסופט עבדה עם mce Systems ו-Google. אנדרואיד סנטרל פנתה לגוגל לצורך תגובה והיא תעדכן מאמר זה כשנקבל תגובה.
למרבה המזל, כרגע אין ראיות המצביעות על ניצול הפגיעות בטבע. עם זאת, מיקרוסופט מזהירה כי ייתכן שהמסגרת הפגיעה עדיין קיימת באפליקציות מחברות טלקום אחרות.
"מספר ספקי שירותים ניידים אחרים נמצאו משתמשים במסגרת הפגיעה עם האפליקציות שלהם, מה שמרמז שיכולים להיות ספקים נוספים שעדיין לא התגלו שעלולים להיות מושפעים", אמרה ענקית התוכנה מרדמונד.
מיקרוסופט הוסיפה את זה Google Play Protect כעת סורק לאיתור סוגים אלה של פגיעויות.
עם זאת, זה מדגיש את הסיכונים הכרוכים באפליקציות מותקנות מראש הנכללות ברבים מהאפליקציות של היום טלפונים אנדרואיד הטובים ביותר ואי אפשר להסיר אותם ללא גישת שורש.
גוגל פיקסל 6 פרו
Google Pixel 6 Pro הוא מכשיר אנדרואיד מצוין, מה גם בעיצוב המלוטש והביצועים המרשימים שלו. יש לו גם מערך מצלמה רב-תכליתי עם חומרה משודרגת, המבטיח שתמיד תקבל את התמונות הטובות ביותר.