לאחר שבמאי 2017 הסירה גוגל עשרות יישומים מ-Google Play, והכניסה לשימוש סורק אפליקציות שנועד להגן מנוזקות, באוגוסט 2017 נאלצה החברה להסיר שלוש רוגלות שהיו זמינות להורדה מחנות היישומים
ידוע כי תוקפי הסייבר ואבטחת המידע מכוונים תמיד לפעול נגד הכלים ומערכות ההפעלה הפופולריים ביותר. כיום: Windows, דפדפן כרום ומערכת ההפעלה אנדרואיד. ואכן, הפופולריות של אנדרואיד והיותה מערכת פתוחה הופכים אותה ליעד להתקפות יומיומיות.
במאי 2017 נחשף כי גוגל הסירה מחנות היישומים שלה 41 אפליקציות נגועות בנוזקה “ג’ודי“, שנוצרו כולן ע”י חברה דרום קוריאנית בשם Kiniwini שהייתה רשומה ב-Google Play בשם ENISTUDIO corp. אבל בתוך זמן קצר הודיעה גוגל על שירות חדש בשם Google Play Protect, הסורק באופן רציף את כל אפליקציות האנדרואיד ומכשיריהם של המשתמשים לשם אבחון התנהגות זדונית ומשתמשת בלמידת מכונה כדי לאבחן פעילות חשודה. עם אבחון אפליקציה זדונית, שירות זה מסיר את האפליקציה ממכשיריהם של כל המשתמשים שהתקינו אותה.
יותר מ-50 גוונים של אפור
גוגל טוענת כי Google Play Protect יכול לסרוק 50 מיליארד אפליקציות מדי יום, וכי שירות זה משתמש בלמידת מכונה (machine learning) כדי לבודד ו”לנכש” את כל העשבים השוטים בחנות היישומים. במשך זמן רב ביצעה גוגל בדיקה מעמיקה (vetting) של כל היישומים לפני שאפשרה את הוספתם ל-Google Play Store, אבל עד כה לא הייתה לה כל דרך לבדוק יישומים לאחר התקנתם. אך הוספת Google Play Protect מאפשרת לסרוק יישומים גם לאחר התקנתם, גם כשמדובר ביישומים שהותקנו על ידי חברות צד שלישי.
למידת מכונה אינה קונספט חדש, והאבחנה בין “תכונות טובות” ל”תכונות רעות” מבוססת על מושג ישן, בדוק ומוכר: blacklisting ו-whitelisting. אבל מפיצי התוכנות הזדוניות בפוטנציה (Potentially Unwanted Programs) כבר למדו מהניסיון ויוצרים בעיקר אפליקציות בתחום ה”אפור”, בעיקר תוכנות פרסום (adware). פרסומות כשלעצמן אינן דבר רע – רבות מהתוכנות החינמיות תלויות בפרסומות – אבל כשתכנת פרסומות מתחילה “להשתולל” ולשלוח פרסומות בקצב מסחרר או לאסוף פרטי משתמשים באופן בלתי חוקי, היא עוברת לקטגוריה של תכנת פרסום, והתפתחות כזו יכולה להתרחש- למשל, לאחר חודש או יותר שבו הייתה התכנה “רדומה”. Google Play Protect אמור לסרוק תוכנות כאלו ולאבחן ב”זמן אמת” את השלב שבו הן עוברות מאפליקציית פרסום לגיטימית ל-adware.
Google Play Protect לא מנע הסתננות של רוגלה מסוכנת
ב-10 באוגוסט 2017 בישרה חברת האבטחה Lookout על מציאת משפחה חדשה של רוגלות בשם SonicSpy, המתחזות לתוכנות מסרונים אך לאחר התקנתן הן מבצעות פעולות השתלטות מרחוק: ביצוע שיחות יוצאות, שליחת הודעות טקסט למספרים שציינו התוקפים, ואיסוף נתוני שיחות, פרטי קשר ומידע על נקודות גישה ל-Wi-Fi. במקביל לתפקוד כאפליקציית מסרונים, מה שמעניק תחושת ביטחון כוזבת למשתמש, אפליקציה מסוג זה גונבת את נתוני המשתמש ומשתלטת מרחוק על המכשיר שלו.
לדברי Lookout, יותר מ-1,000 אפליקציות ממשפחת רוגלות זו, שמקורה ככל הנראה בעיראק, זמינות עבור מערכת ההפעלה אנדרואיד; אך הידיעה החשובה באמת הייתה שלפחות שלוש אפליקציות כאלו הצליחו להסתנן ל-Google Play Store. לפחות בנוגע לאחת מהן, Soniac, טענותיה של Lookout התבררו כנכונות וגוגל מיהרה להסיר את האפליקציה, אבל לא סיפקה פרטים נוספים.
הסתננות באמצעות התחזות לאפליקציה תמימה…או שלא ממש
Soniac זכתה לפופולריות נאה בזמן שהוצעה ב-Play Store, ונרשמו אלפי הורדות שלה. הדבר נובע, קרוב לוודאי, מכך שהיא גרסה משופרת של אפליקציה שרבים מהמשתמשים בה עושים זאת לא מתוך כוונה תמימה: טלגרם, המשמשת למטרות לא ממש לגיטימיות כמו סחר בסמים פסיכדליים או הפצת תכני שנאה. וכמו שקורה לא פעם, סף הזהירות יורד כשמדובר בכוונות מפוקפקות מלכתחילה.
האם גוגל עצמה מוכנה לשלם את המחיר? לא בטוח
פרצות אבטחה במערכת אנדרואיד עלולות להוביל לנזק של עשרות מיליוני דולרים, והגיוני לחשוב שגוגל תהיה מוכנה לשלם סכומים ניכרים למי שימצא פרצות כאלו. אבל הגיון לחוד ומציאות לחוד: זימפריום, החברה הישראלית-אמריקאית שזיהתה ב-2015 את אחת מפרצות האבטחה המשמעותיות ביותר בהיסטוריה של הסמארטפונים, קיבלה מגוגל 1,337 דולר טבין ותקילין על הגילוי הזה. וגם היום, גילוי פרצת אבטחה בדפדפן כרום יזכה אתכם ב-15 אלף דולר לכל היותר.
לחלל הזה נכנסת חברת זירודיום, שמציעה סכומים גבוהים בהרבה תמורת מידע על פרצות שתגלו – בין 5,000 דולר למיליון וחצי דולר. למשל, על גילוי פרצות של הפעלת קוד מרחוק (Remote Code Execution- RCE) והעלאת הרשאות (Local Permission Escalation- LPE) ביישומי צ’אט כגון Whatsapp ו-Viber תשלם זירודיום עד חצי מיליון דולר.
ואם שאלתם את עצמכם מה זירודיום עושה עם המידע- היא מוכרת אותו לגופי ביון וממשלות, שרבים מהם נאלצו לשלם סכומי עתק תמורת פריצה למכשירים סלולריים ומחשבים; למשל, סוכנות ה-FBI שילמה 900 אלף דולר לפריצת מכשיר האייפון של מבצע פיגוע הירי בסן ברנרדינו בדצמבר 2015, לאחר שאפל סירבה לחשוף את המידע הנדרש כדי לפרוץ את המכשיר.