עדי שהרבני, סקייקיור: "המיוחד בתקיפות מכשירים ניידים הוא שאין וקטור תקיפה יחיד"

"מה שמיוחד בתחום התקיפות של מכשירים ניידים הוא שאין וקטור תקיפה יחיד ועם זאת, יש חסך מאוד גדול בפתרונות", כך אמר עדי שהרבני, מנכ״ל ושותף מייסד סקייקיור (SkyCure).

שהרבני התראיין לאנשים ומחשבים בשל שפע הפעילויות שהתרחשו בימים האחרונים ברשת, בהן הודעה שנשלחה לרבבות ישראלים לכאורה מפיקוד העורף, בה הם התבקשו לרדת למקלטים. סקייקיור הישראלית פיתחה פתרון אבטחת מידע למכשירי טלפון חכמים אותו מפיצה בארץ מוביסק טכנולוגיות.

לדברי שהרבני, "הפרדיגמה שנבנתה עבור עולם המחשוב הנייד איננה רלוונטית עוד. אם ניקח את ווטסאפ (Whatsapp) וננסה לנתח את האפליקציה מנקודת מבט של תוקף, נוכל למצוא אינספור דרכים שונות לשלוח הודעות בשם אחר". כך, ציין, "דרך אחת היא תקיפה של הטלפון בבעלות המשתמש. בין אם אתם משתמשים ב-iOS או באנדרואיד (Android), המערכות הללו אינן מגיעות עם פיתרון אבטחה מובנה, וישנן דרכים שונות לפרוץ למכשיר הנייד. סקייקיור זיהתה מספר לא מבוטל של פרצות שכאלו בשנים האחרונות. כאשר המכשיר הינו בשליטת התוקף, כל הפעילות של המשתמש היא בשליטת התוקף, כך שהוא יכול לבצע פעולות בשם החשבון שנתקף".

דרך אחרת, ציין שהרבני, "היא פירצה בקוד של האפליקציה של ווטסאפ. בסופו של דבר, מפתחים כותבים באגים, אשר יכולים לאפשר לתוקף לשלוט ברמות שונות על האפליקציה הספציפית אשר בה נמצא הבאג. חברות כגון ווטסאפ או פייסבוק (Facebook) משקיעות משאבים רבים כדי לוודא שהן כותבות קוד מאובטח, אבל גם המפתחים שלהם לא חסינים. ניתן לראות כי עבור אפליקציות 'בטוחות', דוגמת ווטסאפ, מתפרסמת פרצה מהותית כל חצי שנה – ואלו הן רק הפרצות שמתפרסמות בציבור. כמובן שהאקרים רעים לא נוטים לפרסם את הדרכים בהן הם הצליחו לתקוף את היעד שלהם".

כדרך השלישית הוא ציין גישה פיזית למכשיר ופרסום ההודעה המזויפת ישירות ממנו. דרך רביעית, לדברי שהרבני, היא "גניבת הזהות של המשתמש, כך שבעתיד התוקף יוכל לבצע את הפעולה – במקרה זה התוקף אוסף 'בנק מטרות' ומכין את עצמו לפגיעה בכולן בו זמנית בעת מלחמה. עוד דרך היא ניחוש הסיסמא של המשתמש – במקרה בו יש סיסמא המאפשרת התחברות ממכשיר נוסף".

שהרבני הוסיף כי "דרך שישית היא תקיפת הגיבוי. כיום, הרבה משתמשים מגבים את האפליקציות והמידע שלהם בענן. בין אם זה דרך חברות כמו גוגל (Google) או אפל (Apple), המספקות שירותים כאלה עם מערכת ההפעלה. הגיבוי חשוב ותורם, אך גם הוא מאפשר אפיק תקיפה נוסף: אם גנבתי לך את הגיבוי, או אז בסבירות גבוהה השגתי גישה לאותן המערכות שהמכשיר הנייד שלך מחובר אליהן".

דרך שביעית, לדבריו, "היא השתלטות על מספר הטלפון, משמע תקיפות SIM למיניהן. השתלטות שכזו, או השתלטות על האימייל, מאפשרת גישה לרוב השירותים הווירטואלים הניתנים לנו – וזאת כיוון שבכל שירות יש אפשרות של שחזור סיסמא, המסתמכת לרוב על האימייל או הטלפון שלכם".

את הדרך השמינית כינה שהרבני "האנשים". "למשתמשים היה רכיב חשוב בהפצת המידע השגוי בווטסאפ. ברגע שההודעה מנוסחת בצורה שגורמת לאנשים לחשוב שהם צריכים להעביר אותה הלאה, אז אין צורך בפרצה טכנולוגית – ואני קורא לדרך זו פרצה אנושית. מה שהכרנו בעבר עם 'העבר הודעה זו לעשרה אנשים בתוך שעה ותזכה לחיים בגן עדן', הפך ל'העבר הודעה זו לחברים שלך כדי שיתגוננו ובכך תציל את חייהם'. המודל הוא אותו מודל", אמר.

"יש דרכים שונות לתקוף את מכשיר הטלפון החכם", סיכם שהרבני, "בסקייקיור אנו נחשפים למגוון רחב של תקיפות אותן אנו מזהים וחוסמים. כיום אנו רואים כי 7.5% מהרשתות והשירותים בעולם למעשה מהוות איום למכשיר הנייד של הלקוחות שלנו, ו-20% מהאנשים מתחברים לרשת שכזו בכל חודש".