חוקרי אבטחה פיתחו אפליקציה לאנדרואיד המסוגלת "לדוג" את פרטי כרטיס האשראי שלכם לא רק כשאתם מקלידים אותה, אלא גם כשאתם אומרים אותה בטלפון.
כשמשתמש אנדרואיד מתקין אפליקציה הוא נדרש לאשר רשימה ארוכה של הרשאות גישה שממנה תהנה האפליקציה. דברים אלה משתנים מאפליקציה לאפליקציה וכוללים גישה לאינטרנט, ביצוע שיחות, שליחת SMSים ועוד. המשתמש הממוצע רואה את "נוהל אישור האפליקציה" כבזבוז זמן ופשוט מאשר את האפליקציה. במילים אחרות - גן עדן ל"דייגים".
אפליקציות למטרת פישינג באנדרואיד זה לא דבר חדש (ראו לדוגמא את Tapsnake), דבר זה הביא חבורה של חוקרים מאוניברסיטאות הונג קונג ואינדיאנה לפתח את האפליקציה soundminer כפרויקט proof-of-concept (הוכחת עיקרון). המיוחד באפליקציה הזו הוא שהרשאות שהיא מבקשת מסתכמות בגישה ל'שיחות', על מנת לקרוא את מצב הטלפון, ל'מידע האישי שלך' כדי לקרוא מידע על אנשי קשר ו'בקרת חומרה' כדי להקליט אודיו. על פניו נראה לגיטימי כשמדובר באפליקציה להקלטת קול.
מהרגע שהיא הותקנה על הטלפון ה soundminer יושבת בשקט ברקע ומחכה לשיחה, כשהשיחה לבסוף נכנסת היא מאזינה בסבלנות ומקליטה את הנאמר עד שהיא קולטת מספר כרטיס אשראי ומבצעת את הפעולה הנדרשת כדי להפוך את הקלטת הקול למספרים. המפתחים אף העלו סרטון ל youtube שמדגים את פעולת האפליקציה.
והנה הדובדבן שבקצפת. ל soundminer עצמה אין הרשאת גישה ל'תקשורת רשת' ועל מנת שהיא תוכל לשלוח את הנתונים שאספה לגורם חיצוני היא זקוקה לעזרה של אפליקציה נוספת. אפליקציה זו נקראת deliverer והיא קיימת למטרה הזו בלבד - לשלוח את המידע לתוקף.
כשגוגל תכננה את האנדרואיד היא דאגה להגביל תקשורות מסוימות בין האפליקציות, אבל המפתחים במקרה הזה מצאו דרך לעקוף את אותן הגבלות. במקום לשלוח את המידע באופן ישיר מתוכנה אחת לאחרת, הם משתמשים בצורה מתוחכמת של קוד מורס. כן, 'גוד אולד' קוד מורס היא קרוב לוודאי שיטת התקשורת הבינארית הנפוצה הראשונה. נקודות ומקפים הם לא שונים בהרבה מאחדים ואפסים. אפליקציה אחת משנה משהו כמו בהירות המסך בזמן שהאפליקציה השנייה קוראת את בהירות המסך. לצורך הדוגמא נגיד שבהירות מקסימאלית זו נקודה וכל דבר פחות מזה זה מקף. ביצירת שינויים קלים בבהירות המסך ניתן להעביר מידע רב בין תוכניות, בלי שהמשתמש בכלל ידע על זה.
במקרה זה האפליקציה פותחה כ proof-of-concept אבל המסר הוא ברור. השתמשו באנדרואיד שלכם בחוכמה ולפני שאתם מתקינים אפליקציה תשאלו עצמכם עד כמה באמת אתם צריכים את האפליקציה הזו. הבחירה הטובה ביותר במקרה כזה תהיה לא להתקין הרבה אפליקציות שאתם יודעים עליהן כל כך מעט.
לפני שהצטרף ל- ESET עבד רנדי בחטיבת אבטחת המידע של מיקרוסופט במשך 12 שנים בפיתוח תהליכים שמטרתם למנוע ממיקרוסופט לשחרר תוכנות נגועות.
