"התרחיש הגרוע ביותר לפרטיות הדיגיטלית": משתמשי טלגרם חשופים לסיכון חמור

הרבה מאוד ישראלים משתמשים באפליקציית טלגרם כדי להתעדכן על אזעקות, פגיעות טילים ובכלל על מה שקורה במלחמה עם איראן – בערוצי חדשות אמינים יותר או פחות. אלא שמסתבר שהם, כמו כל משתמשי האפליקציה, חשופים לפגיעות אבטחה חמורה. מומחי אבטחה מכנים אותה "הסיוט של הפרטיות".

הפרצה, שטלגרם מכחישה את קיומה, מעוררת דריכות בקהילת הסייבר העולמית. גילה אותה מייקל דה-פלנטה, פעיל ביוזמת Zero Day Initiative (ZDI) של TrendAITM. היא קיבלה ציון חומרה גבוה במיוחד, של 9.8 – בסולם CVSS. הפרצה סומנה כ-ZDI-CAN-30207, והחוקר מסר שהוא דיווח עליה ביום ה' האחרון לטלגרם.

מומחה אבטחה כינה את הפרצה "התרחיש הגרוע ביותר מבחינת פרטיות דיגיטלית" וציין כי היא "מאפשרת תקיפה מרחוק, בלא צורך באימות ובלא כל אינטראקציה מצד המשתמש. החולשה היא מסוג Zero-Click – מהחולשות הקריטיות בעולם אפליקציות המסרים המיידים". חוקר אחר התריע: "קיים סיכון שיצוץ כלי פריצה מרחוק, שעלול לפגוע בכל משתמש של טלגרם. מומלץ לכל המשתמשים להתקין באופן מיידי את כל עדכוני טלגרם שיפורסמו בחודשיים הקרובים".

סיכון ליותר ממיליארד משתמשי טלגרם

הווקטור הטכני של הפרצה מצביע על סיכון רחב היקף ליותר ממיליארד משתמשי הפלטפורמה. החוקרים הסבירו כי "התקיפה מתבצעת מרחוק דרך האינטרנט. היא לא דורשת תנאים מורכבים או עקיפה מתקדמת. כמו כן, היא לא מחייבת הרשאות או חשבון מצד התוקף, לא דורשת כל פעולה מצד המשתמש ואף מאפשרת שליטה מלאה של התוקף, כולל גניבת מידע, שינוי קבצים והשבתת שירותים".

הפרטים הטכניים המלאים של הפרצה טרם פורסמו, במטרה למנוע ניצול מיידי שלה. חוקרי יוזמת ZDI צפויים לחשוף אותה באופן מלא ב-24 ביולי השנה – מה שמעניק לטלגרם חלון זמנים של כארבעה חודשים לפיתוח והפצת תיקון.

החוקר כתב כי "פרצות באפליקציות מסרים הן יעד מבוקש במיוחד עבור גורמים מדינתיים וקבוצות ריגול, במיוחד כאשר מדובר בפגיעות ברמת חומרה כה גבוהה. מדובר בליקוי בסיסי באופן שבו האפליקציה מטפלת בקלט נכנס, למשל קבצי מדיה או בקשות אוטומטיות".

"האקרים עלולים להשיג גישה מלאה לחשבון המשתמש"

פוזיטיב טכנולוגיות וקספרסקי הרוסיות היו מהראשונות לזהות את הפרצה. אלכסנדר לאונוב, מומחה לניהול פגיעויות בפוזיטיב, אמר כי "תוקף עלול לשלוח לקורבן קובץ מדיה זדוני שהוכן במיוחד. בעת צפייה בקובץ, אפילו בלי ללחוץ עליו, ניתן להריץ נוזקה על המכשיר. כך, האקרים עלולים להשיג שליטה מלאה על היישום או גישה מלאה לחשבון המשתמש, כולל התכתבות".

פרסומים על מכירת מידע על פגיעות זו הופיעו בטלגרם עצמו. ולדימיר דאשצ'נקו, מומחה בקספרסקי, כינה את המצב "קצר אך מהנה. אם הנתונים לא יתבררו כהונאה, הם (טלגרם – י"ה) בהחלט יסגרו את הפגיעות במהירות. אבל אם זה נכון, אז יהיה כיף".

מה צריך לעשות?

מומחי אבטחה ממליצים למשתמשים לעשות את הצעדים הבאים: להפעיל עדכונים אוטומטיים לטלגרם בכל הפלטפורמות – דסקטופ, iOS ואנדרואיד; להגביל קבלת הודעות וקבצים לאנשי קשר בלבד; ולעקוב אחר עדכונים רשמיים של טלגרם, כולל עדכוני חירום.

טלגרם, כאמור, מכחישה את הפרצה. החברה מסרה כי "הפגם הזה אינו קיים. החוקר טוען בטעות כי ניתן להשתמש במדבקה פגומה כווקטור תקיפה – טענה שמתעלמת לחלוטין מהעובדה שכל המדבקות בטלגרם עוברות אימות בשרתים לפני שהן מופעלות באפליקציה".