דף הבית  >> 
 >> 

הרשם  |  התחבר


אשראי המאמין 

מאת    [ 30/01/2011 ]

מילים במאמר: 486   [ נצפה 2188 פעמים ]

חוקרי אבטחה פיתחו אפליקציה לאנדרואיד המסוגלת "לדוג" את פרטי כרטיס האשראי שלכם לא רק כשאתם מקלידים אותה, אלא גם כשאתם אומרים אותה בטלפון.

 

כשמשתמש אנדרואיד מתקין אפליקציה הוא נדרש לאשר רשימה ארוכה של הרשאות גישה שממנה תהנה האפליקציה. דברים אלה משתנים מאפליקציה לאפליקציה וכוללים גישה לאינטרנט, ביצוע שיחות, שליחת SMSים ועוד. המשתמש הממוצע רואה את "נוהל אישור האפליקציה" כבזבוז זמן ופשוט מאשר את האפליקציה. במילים אחרות - גן עדן ל"דייגים".

 

אפליקציות למטרת פישינג באנדרואיד זה לא דבר חדש (ראו לדוגמא את Tapsnake), דבר זה הביא חבורה של חוקרים מאוניברסיטאות הונג קונג ואינדיאנה לפתח את האפליקציה soundminer כפרויקט proof-of-concept (הוכחת עיקרון). המיוחד באפליקציה הזו הוא שהרשאות שהיא מבקשת מסתכמות בגישה ל'שיחות', על מנת לקרוא את מצב הטלפון, ל'מידע האישי שלך' כדי לקרוא מידע על אנשי קשר ו'בקרת חומרה' כדי להקליט אודיו. על פניו נראה לגיטימי כשמדובר באפליקציה להקלטת קול.

 

מהרגע שהיא הותקנה על הטלפון ה soundminer יושבת בשקט ברקע ומחכה לשיחה, כשהשיחה לבסוף נכנסת היא מאזינה בסבלנות ומקליטה את הנאמר עד שהיא קולטת מספר כרטיס אשראי ומבצעת את הפעולה הנדרשת כדי להפוך את הקלטת הקול למספרים. המפתחים אף העלו סרטון ל youtube שמדגים את פעולת האפליקציה.

 

והנה הדובדבן שבקצפת. ל soundminer עצמה אין הרשאת גישה ל'תקשורת רשת' ועל מנת שהיא תוכל לשלוח את הנתונים שאספה לגורם חיצוני היא זקוקה לעזרה של אפליקציה נוספת. אפליקציה זו נקראת deliverer והיא קיימת למטרה הזו בלבד - לשלוח את המידע לתוקף.

 

כשגוגל תכננה את האנדרואיד היא דאגה להגביל תקשורות מסוימות בין האפליקציות, אבל המפתחים במקרה הזה מצאו דרך לעקוף את אותן הגבלות. במקום לשלוח את המידע באופן ישיר מתוכנה אחת לאחרת, הם משתמשים בצורה מתוחכמת של קוד מורס. כן, 'גוד אולד' קוד מורס היא קרוב לוודאי שיטת התקשורת הבינארית הנפוצה הראשונה. נקודות ומקפים הם לא שונים בהרבה מאחדים ואפסים. אפליקציה אחת משנה משהו כמו בהירות המסך בזמן שהאפליקציה השנייה קוראת את בהירות המסך. לצורך הדוגמא נגיד שבהירות מקסימאלית זו נקודה וכל דבר פחות מזה זה מקף. ביצירת שינויים קלים בבהירות המסך ניתן להעביר מידע רב בין תוכניות, בלי שהמשתמש בכלל ידע על זה.

 

במקרה זה האפליקציה פותחה כ proof-of-concept אבל המסר הוא ברור. השתמשו באנדרואיד שלכם בחוכמה ולפני שאתם מתקינים אפליקציה תשאלו עצמכם עד כמה באמת אתם צריכים את האפליקציה הזו. הבחירה הטובה ביותר במקרה כזה תהיה לא להתקין הרבה אפליקציות שאתם יודעים עליהן כל כך מעט.

רנדי אברמס הצטרף ל- ESET ביולי 2005 בתפקיד הדירקטור לחינוך טכנולוגי. במסגרת תפקידו מעביר רנדי הדרכות לעובדי ומפיצי ESET בכל העולם.

לפני שהצטרף ל- ESET עבד רנדי בחטיבת אבטחת המידע של מיקרוסופט במשך 12 שנים בפיתוח תהליכים שמטרתם למנוע ממיקרוסופט לשחרר תוכנות נגועות.



מאמרים חדשים מומלצים: 

חשיבות היוגה לאיזון אורח חיים יושבני  -  מאת: מיכל פן מומחה
היתרונות של עיצוב בית בצורת L -  מאת: פיטר קלייזמר מומחה
לגלות, לטפח, להצליח: חשיבות מימוש פוטנציאל הכישרון לילדים עם צרכים מיוחדים -  מאת: עמית קניגשטיין מומחה
המדריך לניהול כלכלת משק בית עם טיפים ועצות לניהול תקציב -  מאת: נדב טל מומחה
חשבתם שרכב חשמלי פוטר מטיפולים.. תחשבו שוב -  מאת: יואב ציפרוט מומחה
מה הסיבה לבעיות האיכות בעולם -  מאת: חנן מלין מומחה
מערכת יחסים רעילה- איך תזהו מניפולציות רגשיות ותתמודדו איתם  -  מאת: חגית לביא מומחה
לימודים במלחמה | איך ללמוד ולהישאר מרוכז בזמן מלחמה -  מאת: דניאל פאר
אימא אני מפחד' הדרכה להורים כיצד תוכלו לנווט את קשיי 'מצב המלחמה'? -  מאת: רזיאל פריגן פריגן מומחה
הדרך שבה AI (בינה מלאכותית) ממלאת את העולם בזבל דיגיטלי -  מאת: Michael - Micha Shafir מומחה

מורנו'ס - שיווק באינטרנט

©2022 כל הזכויות שמורות

אודותינו
שאלות נפוצות
יצירת קשר
יתרונות לכותבי מאמרים
מדיניות פרטיות
עלינו בעיתונות
מאמרים חדשים

לכותבי מאמרים:
פתיחת חשבון חינם
כניסה למערכת
יתרונות לכותבי מאמרים
תנאי השירות
הנחיות עריכה
תנאי שימוש במאמרים



מאמרים בפייסבוק   מאמרים בטוויטר   מאמרים ביוטיוב