השתלטות מרחוק, מעקב מיקום והפעלת מצלמה: פרצת Zero-Day נחשפה במכשיר הדגל של סמסונג
המתקפה נחשפה על ידי חוקרים בתחרות Pwn2Own ודווחה לסמסונג, שעובדת כעת על תיקון
מכשירי Galaxy S25. תמונה: Dreamstime
בעידן שבו הטלפון הנייד משמש לא רק לתקשורת אישית אלא גם ככלי עבודה ארגוני לכל דבר, קשה לדמיין יום עבודה שלא מתחיל בגלילה דרך מיילים, עלייה לפגישות מהרכב או חיפוש מסמכים בענן. הסמארטפונים הפכו למחשב אישי בכיס, כזה שמחובר לכל המידע העסקי שלכם, 24/7.
אלא שלצד הנוחות, מגיע גם סיכון לא מבוטל: ברגע שהמכשיר מחובר לתשתיות הארגון, הוא הופך לשער פוטנציאלי למידע רגיש, ולעיתים גם לדלת כניסה לתוקפים. בדיוק בגלל זה, פרצות Zero-Day במכשירי מובייל הן לא רק בעיה של משתמש פרטי, הן סיכון ישיר לארגונים. כעת, פרצה חדשה שנחשפה ב-Galaxy S25 מדגימה בדיוק את הסיכון הזה, מאחר שהיא איפשרה לתוקפים להשתלט מרחוק על מכשירים, לצפות בנעשה דרך המצלמה ולעקוב אחרי מיקום המכשיר.
הפרצה נחשפה בסוף השבוע בתחרות Pwn2Own Ireland 2025, תחרות האקינג של יוזמת Zero Day Initiative (ZDI) של חברת Trend Micro, במהלכה מנסים חוקרים למצוא ולנצל חולשות אבטחה תמורת פרסים כספיים. השנה, הפרס הגדול עמד על מיליון דולר עבור מי שיצליח להדגים פריצת Zero-Click בוואטסאפ.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
השתלטות מלאה באפס מאמץ
במהלך התחרות חשפו חוקרי סייבר מצוות Interrupt Labs פרצת Zero-Day במכשיר Samsung Galaxy S25. המתקפה אפשרה לחוקרים להשתלט ללא מאמץ על המכשיר, להפעיל את המצלמה ולעקוב אחרי אותות ה-GPS שלו. הפרצה נחשפה ביום האחרון של הכנס, ומקורה בבאג של אימות קלט שגוי בתוך התוכנה של ה-Galaxy S25, שאיפשר לעוקפים לעקוף את מנגנוני ההגנה של סמסונג ולהריץ קוד מרחוק על המכשיר.
באמצעות יצירת קלטים זדוניים במיוחד, הדגימו החוקרים כיצד תוקף יכול להשתלט על המכשיר מבלי שהמשתמש ינקוט פעולה כלשהי, טכניקה שהצליחה לחמוק ממערכות ההגנה של סמסונג בזמן אמת במהלך התחרות. הפרצה, שלא הייתה ידועה לציבור או ליצרנית לפני האירוע, אפשרה גישה מתמשכת למכשיר והפכה אותו לכלי ריגול שיכול לצלם תמונות, להקליט וידאו ולאסוף מידע GPS בזמן אמת.
נכון לעכשיו, סמסונג טרם פרסמה תגובה רשמית לפרצה המדוברת, אך סביר לוודאי כי היא עובדת על עדכון למערכת ההפעלה שישוחרר בקרוב – כפי שעשתה במקרי עבר בהם נחשפו פרצות Zero-Day במכשיריה. ולמי שתהה מה לגבי החוקרים, הם נהנו מפרס של 50 אלף דולר בעקבות החשיפה שלהם. בתחרות עצמה נחשפו 73 פרצות חדשות וחולקו פרסים בסך של יותר ממיליון דולר. כל הפריצות דווחו לחברות הרלוונטיות על מנת שיעבדו על תיקונים בהקדם, כנהוג בתחרויות מסוג זה.
