חברת אבטחת המידע הישראלית צ'ק פוינט חשפה בסוף השבוע פרצת אבטחה במכשירי אנדרואיד של גוגל, שהיתה קיימת מעל עשור אך רק לאחרונה התגלתה ותוקנה.

באופן אירוני, מקור הפרצה הוא תוכנה של אפל – מקודד אודיו בשם ALAC, המשמש לקבצי קול באיכות גבוהה מאוד ללא איבוד של מידע כלשהוא מההקלטה המקורית. ב-2011 פתחה אפל את הקוד של המקודד לשימוש במערכות הפעלה אחרות, ומאז לא טרחה לעדכן אותו מלבד בגרסה נפרדת שזמינה רק במכשירים שלה.

כעת מתברר כי הגרסה שנפתחה לשימוש חופשי הכילה באג. הבא הזה איפשר להאקרים ליצור קבצי קול ש"משקרים" למחשב בקשר למספר ה"פריימים בקובץ אודיו, ולהריץ במקום מוזיקה קוד זדוני שישתלט על המכשיר ויעניק להאקר גישה מרחוק למיקרופון ולמצלמה בזמן אמת.

החברה הישראלית גילתה את הפרצה כבר בשנה שעברה, העניקה לה את השם ALHACK (משחק מילים שנשמע בקריאה בקול בדיוק כמו שם המקודד) ודיווחה עליה מייד לשתי ספקיות השבבים הגדולות ביותר למכשירי אנדרואיד – Qualcomm האמריקאית ו-MediaTek הטייוואנית. קואלקום הגדירה אותה כ"קריטית", עם ציון של 9.8 מתוך 10 ברמת החומרה, בעוד מדיה-טק הסתפקה בהגדרת הפרצה ככזו בדרגה "גבוהה". שתיהן, לצד גוגל, שחררו עדכונים לתיקון הפרצה בחודש דצמבר – אך המיליונים הרבים של מכשירים שפגיעים לפרצה הם כמות אדירה, שליצרניות לקח זמן רב להוציא עדכון לרבים מהם.

עוד ב-

צ'ק פוינט חושפת: זו העלייה המדאיגה בתקיפות הסייבר בעולם

לכתבה המלאה

כעת, לאחר שעדכונים שוחררו עבור רוב המכשירים הפגיעים, מתחילה צ'ק פוינט לחשוף את פרטי הפרצה. פרטים נוספים אודותיה ייחשפו בכנס סייבר שיתקיים בחודש הבא.