קוד שבור: כשל חדש באנדרואיד מאפשר פריצה למיליוני מכשירים

הפרצה, שהתגלתה במהלך יום הכיפורים, מאפשרת לקוד HTML שמושתל באתר אינטרנט להפעיל פקודה למחיקת כל המידע שמאוחסן על המכשיר והחזרתו למצבו ההתחלתי. הדיווחים הראשונים בנושא ייחסו את הפרצה למכשירי סמסונג גלקסי S3 וסמארטפונים אחרים מתוצרת סמסונג.

חשוף למחיקה מרחוק. S3

במהלך היומיים האחרונים התברר שמכשירי אנדרואיד נוספים, שמספרם אינו ידוע אך לאור התפוצה העצומה של מערכת הפעלה זו - חשופים לפרצה גם הם. בין המכשירים שנמצאו פגיעים לפרצה, מכשירי גלקסי S3 ו-S2 של סמסונג, One X ו-Desire של HTC, ו-Defy של מוטורולה.

הבעיה, לפי דיווח של אתר The Verge, נעוצה בחייגן של אנדרואיד עצמה ולא בממשקי המשתמש שמצפתחות היצרניות, כפי שנחשד בתחילה. בסמארטפונים מודרניים, ניתן ללחוץ על לינק באתרים על מנת ליזום שיחת טלפון למספר זה או אחר. ואולם, החייגן של אנדרואיד מאפשר ללינקים באתרים גם להזין פקודות מיוחדות דוגמת הצגת מספר המזהה הייחודי של המכשיר (IMEI), או מחיקת על המידע שעל המכשיר. זאת, מכיוון שהחייגן מתייחס לפקודות אלו כמו למספר טלפון רגיל.

בעקבות הדיווחים, הודיעה סמסונג אתמול שתיקנה את הפרצה הבעייתית - בינתיים, רק במכשירי הגלקסי S3. החברה קוראת למשתמשיה לעדכן את הסמארטפונים שלהם לגרסאות העדכניות ביותר של אנדרואיד שנתמכות על ידי המכשירים. לפי The Verge, בחשבון הטוויטר של סמסונג בבלגיה צויץ כי החברה עובדת כעת על פתרון תוכנה גם עבור מכשירי גלקסי S2.

האם המכשיר שלכם בסכנה?

הפרצה עצמה תוקנה בעדכון שהוציאה גוגל בסוף יוני. אולם משתמשים רבים מאוד לא שדרגו את מערכת ההפעלה ועדיין סובלים מהפרצה. על מנת לבדוק האם מכשירכם פגיע לפרצה ניתן לגלוש לאתר זה שיצר חוקר האבטחה דילן ריב.

האתר ינסה להריץ קוד להצגת מספר ה-IMEI של המכשיר ואין שום סכנה בכניסה אליו. אם יוצג המספר, הרי שהמכשיר ברשותכם פגיע לפרצה המדאיגה. אף שנכון לעכשיו לא ידוע על מקרים בהם גורמים זדוניים ניסו לנצל פרצה במטרה למחוק מרחוק את מכשיריהם של משתמשים תמימים, מומלץ לנקוט משנה זהירות ולעדכן את המכשיר לגרסת האנדרואיד האחרונה ביותר. במידה שאין באפשרותכם לעדכן את המכשיר בגלל מגבלות יצרן, ניתן להוריד ולהתקין חייגן צד שלישי שאינו חשוף לפרצה מחנות האפליקציות של גוגל פליי.