חוקרים ממעבדות קספרסקי פרסמו אתמול את ממצאיהם לגבי קוד זדוני שהושתל באפליקציית Camscanner הפופולרית, הדומה במהותו לאפליקציות נגועות המותקנות מראש בטלפונים סיניים זולים.

לאפליקצית סריקת המסמכים יש מעל 100 מליון הורדות, והיא שייכת לחברה מוכרת. המודל העסקי שלה הוא FREEMIUM – כלומר סריקת מסמכים מיטבית בחינם, וגביית תשלום על שירות פרימיום, שבין השאר מאפשר שימוש באפליקציה ללא פרסומות. ככל הנראה, באחד מעדכוני הגרסא האחרונים, שילבה החברה באפליקציה קוד זדוני של ספק חיצוני. להערכת החוקרים, יוצרי הקוד מציעים תשלום למי שישלב אותו. הקוד מאפשר לעקוף חלק מההגנות הקיימות במכשירים נגד התקנות אפליקציות בלתי מורשות, ובכך לאפשר ליוצרי הקוד להשתלט על הצגת הפרסומות במכשיר, וכן להתקין אפליקציות נוספות שאף עשויות לבצע רישום של בעל המכשיר לשירותים בתשלום, במקרה שהמכשיר כולל פרטי אמצעי תשלום.

המניע לבדיקה היה ביקורות שליליות שנוצרו בחודשים האחרונים בחנות גוגל פליי על האפליקציה. בעקבות הגילוי, גוגל הסירה את האפליקציה מחנות האפליקציות שלה, אך מליוני עותקים עדיין מותקנים במכשירים של משתמשים מרחבי העולם. בכדי לעקוף את בדיקות הקוד שמבצעת גוגל, ההזרקה השתמשה בהצפנה מיוחדת של הקוד הזדוני, כך שהוא נשלח משרתים חיצוניים למכשיר רק בעת הפעלת האפליקציה, והוא אינו מופיע כחלק מעדכון הגרסא עצמו. גוגל מתקשה להתמודד עם הזרקת קוד זדוני באופן מוצפן לאפליקציות בחנות גוגל PLAY.

הקוד הנגוע לא קיים בגרסת ה-IOS של Camscanner, ובעלי מכשירי אייפון של אפל מוגנים מפניו.

איך מסירים את האפליקציה?

כדי להסיר את Camscanner ממכשיר האנדרואיד יש לבחור בהגדרות / אפליקציות / בחירה באפליקצית Camscanner והסרה שלה או לגרור אותה ממסך הבית או מגירת האפליקציות לסמליל פח האשפה.

תגובת החברה

אתר החברה עדיין כולל קישור להורדה גם באנדרואיד, למרות שהקישור אינו פעיל.

We are investigating right now and will announce what was happening to our ANDROID version 5.11.7. We deeply apologize…

פורסם על ידי ‏‎Camscanner‎‏ ב- יום שלישי, 27 באוגוסט 2019

הבוקר פרסמה החברה פוסט לפיו היא "בודקת מה קרה לגרסת האנדרואיד 5.11.7" וכי היא מקיימת מגעים עם קספרסקי וגוגל לגבי ממצאיהן. בהמשך החברה טוענת שמדובר בבעיה עם אחד מספקי מנועי הפרסום לאפליקציה ושגרסא 5.12.5 תיקנה את הבעיה.

אילו חלופות קיימות?

לפי אתר תוכנות חליפיות, ישנן מספר אפליקציות שיכולות להחליף את Camscanner כאשר הבולטות ביניהן הן Microsoft Office Lens, ו-Scanbot.

גם אפליקציית Dropbox מאפשרת לסרוק מסמכים – אם כי לא כל האפשרויות שקיימות Camscanner קיימות גם ב-Dropbox.

הגרסא בתשלום של Camscanner, הנקראת Camscanner+ לא כוללת את הקוד הזדוני.

באף אחת מהאפליקציות החלופיות אין ודאות מלאה שאין בהן קוד זדוני, ובייחוד שלא יהיה בהן קוד כזה בעתיד, דרך עדכוני גרסה.

אמצעי זהירות אפשריים כדי להמנע מהורדת אפליקציות זדוניות מהחנויות הם קריאת ביקורות על האפליקציה וכן נסיון להבין מי עומד מאחורי האפליקציה – ככל שמדובר בחברה רווחית עם מודל עסקי הגיוני, פוחת התמריץ מבחינתה לשלב באפליקציה קוד זדוני ומזיק.

חברות אנטיוירוס כמו קספרסקי או מקאפי טוענות שהן יכולות לזהות אפליקציות נגועות טוב יותר מחנות האפליקציות של גוגל, בזכות פיקוח על המכשיר גם בעת פעולתו ולא רק בשלבי הקבלה לחנות וההתקנה, בעזרת התקנת אפליקציית הגנה למכשיר מתוצרתן.

הבעיה במודל הכלכלי

"אם אתה לא הלקוח, אתה כנראה המוצר" אומרת האמרה הידועה, והיא די נכונה גם בשוק האפליקציות. ההרגל הרווח לצרוך שירותים הניתנים בחינם דחף את מפתחי התכנים והאפליקציות למצוא מודלים כלכליים חלופיים, המבוססים על הפרת הפרטיות של המשתמשים, איסוף מידע בהיקפי על, ולעתים גם חשיפת המשתמשים לסיכונים של השתלטות תוכנות זדוניות על המכשירים. אם במאה הקודמת כתיבת וירוסי מחשב הייתה קודם כל אתגר טכנולוגי, היום מדובר בעסק כלכלי לכל דבר. פורצים מציעים למכירה מאגרי מידע שנשדדו, וכן משלמים כספים תמורת כל השתלה של קוד זדוני, שאמור לאפשר להם להרוויח עוד יותר כסף מהמכשירים הנגועים. ככלל, פרקטיקה זו פחות מקובלת באפליקציות בתשלום והמקרה של אפליקציה כה פופולרית כמו Camscanner הינו חריג יחסית. אף על פי כן, בעולם עסקי שמקדש תרבות של מיקור חוץ, הגישה של חברות מפוקפקות לתוך מערכות המידע והשירות של גופים גדולים בעלי תדמית אמינה נעשית קלה יותר.

כיצד להגן על אמצעי התשלום במכשיר?

פרדוקס נוסף הוא הסיכון שבמתן גישה במכשיר לאמצעי תשלום, אשר יכולים מחד לאפשר רכישת אפליקציות הגונות ובטוחות, ומנגד אפליקציות אחרות עלולות לעשות שימוש בלתי מורשה באותם אמצעי תשלום.

אתר privacy.com למשל מציע הפיכת כרטיס האשראי לוירטואלי, כך שכל עסקה נעשית מכרטיס וירטואלי אחר, שנוצר רק למען ההתקשרות עם אותו ספק. התשלום על השירות נגבה מהספקים ולא מהמשתמשים. ניתן לעשות שימוש בשירות זה גם ברכישת אפליקציות אנדרואיד.

יש חברות אשראי שמאפשרות לקבל התראה ב-SMS או במייל על כל עסקה חדשה, ובכך לבצע בקרה אישית טובה יותר על השימוש בכרטיסים, ולא רק באמצעות החשבונית החודשית, שבה השימוש החשוד יכול "להסתתר" בין הרבה שימושים לגיטימיים.

אפשרות נוספת, היא להכניס למכשיר האנדרואיד רק פרטי כרטיס חיוב מיידי נטען, שניתן לרכוש בסניפי הדואר, ובכך לגדר את הסיכון לכמות הכסף שטענתם בכרטיס. כך ניתן להימנע מלשלב פרטי אמצעי תשלום עיקרי במכשיר הסלולרי, החשוף לאיומי אבטחה שונים. שירות זה שמשווק בדואר ישראל, מופעל באמצעות חברת PAYONEER.