חוקרי אבטחה חשפו זה עתה מתקפת שרשרת אספקה מסיבית המשפיעה על מיליוני מכשירי אנדרואיד, וזה די מדאיג. המתקפה מכוונת למכשירים חכמים שונים, לרבות סמארטפונים תקציביים, שעונים חכמים, טלוויזיות חכמות ועוד. נראה כי הבעיה נוצרת מהתחרות העזה בין יצרני הציוד המקורי (OEM).
במהלך חקירתם הדגישו החוקרים את הנושא בכנס שהתקיים בסינגפור. הם איתרו את שורש הבעיה לתחרות עזה בין יצרני ציוד מקורי (OEM).
היצרנים אינם האשמים
מעניין שיצרני הסמארטפונים לא מייצרים את כל הרכיבים בעצמם. מרכיב חיוני אחד, הקושחה, מועבר לרוב לספקי צד שלישי. עם זאת, עקב ירידת המחירים של קושחת הטלפון הנייד, ספקים אלה התקשו לייצר רווחים מהמוצרים שלהם.
כתוצאה מכך, החוקרים גילו שכמה תמונות קושחה הגיעו עם אלמנטים נוספים, לא רצויים המכונים "תוספים שקטים". הם זיהו "עשרות" תמונות קושחה המכילות תוכנה מאיימת, או תוכנה זדונית, וזיהו כ-80 תוספים שונים. חלק מהתוספים הללו היו חלק מ"מודל עסקי" גדול יותר ונמכרו בפורומים של Dark Web ופורסמו בפלטפורמות ובבלוגים של מדיה חברתית מיינסטרים.
תוספים זדוניים עשויים להיות שורש המתקפה
התוספים שהתגלו במתקפת שרשרת האספקה הזו הם בעלי יכולות שונות המאיימות קשות על המכשירים המושפעים. יש להם את היכולת לאסוף מידע רגיש, כגון נתונים אישיים, ולקבל גישה לא מורשית להודעות SMS. בנוסף, תוספים זדוניים אלה יכולים להשתלט על חשבונות מדיה חברתית, לנצל מכשירים להונאת מודעות וקליקים, לתמרן את תעבורת האינטרנט ועוד הרבה יותר. מגוון הפעילויות המזיקות שמאפשרות תוספים אלה הוא נרחב.
תוסף אחד הנוגע במיוחד שהודגש על ידי החוקרים מעניק לקונה שליטה מלאה על מכשיר למשך עד חמש דקות. המשמעות היא שהתוקפים יכולים להשתמש במכשיר שנפרץ כ"צומת יציאה" כדי לבצע את הפעילויות המאיימות שלהם.
הנתונים שהם אספו מצביעים על כך שכמעט תשעה מיליון מכשירים ברחבי העולם הושפעו מהתקפת שרשרת האספקה הזו. רוב המכשירים המושפעים מרוכזים בדרום מזרח אסיה ובמזרח אירופה. בעוד החוקרים לא ציינו במפורש את האשמים מאחורי מתקפת התוכנה הזדונית, הפניות לסין בוצעו מספר פעמים, מה שהוביל את הפרסום להסיק מסקנות משלו.