צ'ק פוינט: פגיעויות אבטחה באפליקציות של הליכוד והעבודה

ענקית האבטחה גילתה פרצות באפליקציה של הליכוד ושימוש של אנשי הקשר של המשתמשים ביישומון של העבודה ● במקרה של מפלגת השלטון, החוקרים גילו כי היא אוספת מידע ללא הצפנה ובניגוד לסטנדרטים המקובלים

צילופ אילוסטרציה: BigStock

המפלגות שמציעות אפליקציות אוספות באמצעותן מידע אישי ורגיש רב עלינו, הבוחרים, וכוללות פרצות אבטחה משמעותיות – כך עולה ממחקר שפרסמה היום (ד') צ'ק פוינט. לקראת יום הבוחר בדקה ענקית האבטחה איזה מידע המפלגות אוספות על משתמשי האפליקציות שלהן ומה הן עושות בו.

רק לשלוש מפלגות יש אפליקציות רשמיות – הליכוד, העבודה ומפלגת ישר. יצוין כי החברה חשפה את כל הממצאים בפני המפלגות שנבדקו והגופים המדינתיים הרלוונטיים.

הליכוד

הבדיקה העלתה שניתן לחלץ מהאפליקציה באופן פשוט יחסית את רשימת כלל המתפקדים לליכוד ופרטיהם האישיים, כולל כתובות מגורים, מיילים, מספרי טלפון, מצב משפחתי ונתונים דמוגרפיים נוספים. כמו כן, האקר יכול להגיע בתוך דקות בודדות ועם סיסמה קצרה לכל חשבון משתמש, בהינתן מספר הטלפון שלו. על פי החוקרים, האפליקציה אוספת מידע אישי רגיש, הכולל מספר תעודת זהות ופרטי כרטיס אשראי, ללא הצפנה ובניגוד לסטנדרטיים המקצועיים ולהנחיות האבטחה. בנוסף, ממשק הניהול של האפליקציה נגיש לאינטרנט וחשוף למתקפות סייבר, הגם שהוא דורש שם משתמש וסיסמה.

אפליקציית הליכוד מותאמת הן לאנדרואיד והן ל-iOS, והיא עודכנה באחרונה בחודש ספטמבר – הרבה לפני שהוחלט על מערכת הבחירות. הרישום אליה מתבצע על ידי הזנת מספר תעודת זהות וטלפון נייד. בשלב זה, המשתמש מקבל הודעת SMS עם סיסמה בת ארבע ספרות, שמשמשת אותו לכניסה לאפליקציה מעתה ואילך. חוקרי צ'ק פוינט אומרים כי זו סיסמה קלה ופשוטה, שחושפת את המשתמשים למתקפות Brute Force (תקיפה כוחנית), שבהן מזין התוקף את כל האפשרויות הקיימות לסיסמה ולכן – יש חשיבות למורכבות ולאורך שלה. במקרה זה, לסיסמה קיימים רק 10,000 צירופים שונים – משימה שמחשב סטנדרטי פותר במספר דקות. לפיכך, אם ידוע לתוקף מספר הטלפון של חבר ליכוד כלשהו, הוא יכול בפשטות להתחבר במקומו לאפליקציה, לקבל את כל פרטיו האישיים ולפעול בתוכה בשמו.

ראש הממשלה ויו"ר הליכוד, בנימין נתניהו. צילום: רומן ינושבסקי, BigStock

ראש הממשלה ויו"ר הליכוד, בנימין נתניהו. צילום: רומן ינושבסקי, BigStock

יתרה מזאת, תהליך הזיהוי שנדרש באפליקציית הליכוד הוא רק וידוא שמספר הטלפון הנייד שהמשתמש הזין אליה הוא אמנם שלו. בעוד שבירור פרטים של חבר הליכוד בהינתן מספר טלפון דורש מידה מסוימת של מקצועיות – ניחוש סיסמה בת ארבע ספרות, אם יש מספר תעודת זהות של חבר המפלגה, כל שנדרש הוא להזין אותו באפליקציה ולקבל את כלל הפרטים.

בצ'ק פוינט מצאו כי יישומון הליכוד מסתמך על שני שרתים לצורך אחסנת המידע והפונקציות השונות שבה. התקשורת עם השרתים הללו מתבצעת בפרוטוקול http לא מאובטח, כך שהפרטים הרגישים שמוזנים על ידי כל משתמש, כולל מספרי תעודות זהות ופרטי כרטיסי אשראי, חשופים לתוקפים. גם הכניסה לעמוד שבו מוזנים שם המשתמש והסיסמה מתבצעת בפרוטוקול לא מאובטח.

יצוין כי המפלגה טיפלה בפרצת האבטחה במהירות והייתה קשובה לממצאים.

העבודה

עיקר הפגיעויות שגילתה צ'ק פוינט באפליקציה הן שהיא מחלצת את רשימת אנשי הקשר של המשתמשים ללא ידיעתם ומעלה אותה לשרת חיצוני, וממפה את הקשרים החברתיים שלהם על בסיס ניתוח שמות אנשי הקשר. היא עושה זאת על מנת למפות את טיב הקשר בין המשתמש לבין אנשי הקשר שלו, ובכך לאתר, ככל הנראה, מצביעים פוטנציאליים. ניתוח זה נעשה ללא ידיעת המשתמש.

האפליקציה, שגם לה יש הן גרסת אנדרואיד והן גרסת iOS, עלתה בתחילת השנה. היא מאפשרת למשתמש להתעדכן בחדשות ובאירועים האחרונים של מפלגת העבודה, אבל גם להשפיע על עמדות של בוחרים פוטנציאליים של המפלגה. החלק המרכזי של האפליקציה מאפשר למשתמש לסווג את אנשי הקשר שלו לקטגוריות, לפי מידת התמיכה של כל אחד מהם במפלגת העבודה ומידת הפתיחות שלו לשינוי עמדה. האפליקציה מבטיחה כי כל זאת נעשה על מנת לאפשר למשתמש לשלוח הודעות SMS מוכנות מראש למכריו, כדי לנסות לשכנע אותם להצביע למפלגת העבודה.

אבי גבאי, יו''ר מפלגת העבודה. צילום: ניב קנטור

אבי גבאי, יו"ר מפלגת העבודה. צילום: ניב קנטור צילום: ניב קנטור

האפליקציה מתחייבת כי הגישה לרשימת אנשי הקשר מתבצעת על מנת "לאפשר לך ליצור ולחזק קשרים עם אנשי הקשר שלך… תוכן השיחות לא ינוטר ו/או יישמר על ידי המפלגה". אלא שבצ'ק פוינט זיהו שמיד עם מתן הגישה לפרטי אנשי הקשר של המשתמש ולחיצה על כפתור ה-"התחל להשפיע", נשלחים כל הפרטים שלהם שנמצאים על מכשיר הטלפון למאגר המידע של המפלגה – כולל שמות, מספרי טלפון וכתובות מייל. בנוסף לכך, באפליקצייה קיימת פונקציונליות של סיווג מידת הקשר של המשתמש עם איש הקשר הרלוונטי, כנראה מתוך כוונה ליצור רשימה של אנשי קשר קרובים אליו במיוחד, שתישמר במאגר הנתונים של המפלגה.

האפליקציה מאפשרת למפלגה לעבור על כל אנשי הקשר של המשתמש ולאתר את אלה הקרובים אליהם, על ידי חיפוש סיומות ותחיליות חיבה והקטנה המוצמדות לשם, ומילות קירבה ואהבה. כך, למשל, "אמא", "אבא" ו-"סבתא" יסווגו כקשרים קרובים, כמו גם כל מי שמסתיים ב-"צ'וק", "צ'יק" ו-"ל'ה". כך האפליקציה מאפשרת למפלגה להשיג נגישות לרשימת אנשי הקשר של המשתמש וממפה את האנשים הקרובים אליו במיוחד.

עם זאת, יצוין שכל המידע שמועבר לשרת מועבר בצורה מוצפנת, כמצופה בטיפול מתעבורה עם מידע רגיש.

התגובות

מהליכוד נמסר כי "קיבלנו את פניית צ'ק פוינט וטיפלנו בפירצה מיד. מידע אישי לא דלף וכל נזק לא נגרם".

תגובת מפלגת העבודה: "אנחנו מודים לצ'ק פוינט על שציינה לחיוב את רמת אבטחת המידע שלנו. מטרת האפליקציה היא לאפשר לפעילי המפלגה לשכנע את חבריהם באמצעות העברת תכנים באופן ישיר. לשם כך, היא נדרשת לגשת לאנשי הקשר של המשתמש. הטענה המוצגת איננה נכונה, מאחר שכדי לקבל גישה לרשימה נדרשת הסכמתו של המשתמש באפליקציה, כפי שנדרש בחנויות האפליקציות וכפי שעושות עוד אלפי אפליקציות ברחבי העולם. מיפוי אנשי הקשר נעשה עבור שיפור חוויית המשתמש בלבד והמידע לא נשמר".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים