פורצי מחשבים ביום האהבה

חוקרי יבמ מגלים צד אפל באפליקציות הדייטינג: חורי אבטחה, סכנה לפרטיות – ולמידע ארגוני
מומחי אבטחה של יבמ גילו כי יותר מ- 60% מאפליקציות ההכרויות הפופולאריות בארה"ב, הפועלות בסביבת אנדרואיד, חשופות לסיכוני אבטחה ולהתקפות סייבר העלולות לאיים על פרטיות המידע האישי של המשתמשים, ולסכן את החברות המפעילות אתרים אלה.
המחקר של יבמ מגלה כי רבים מיישומי ההכרויות ניגשים גם אל כלים נוספים המשולבים במכשירים הניידים, דוגמת מצלמה, מיקרופון, נפח אחסון ונתוני מיקום – בשילוב החושף גם אותם לפורצים המנצלים את הפרצות הקיימות באפליקציית ההכרויות. בכ- 50% מהארגונים שנבדקו על ידי יבמ, ניתן למצוא לפחות עובד אחד שהתקין אפליקציית הכרויות פופולארית על גבי המכשיר הנייד המשמש אותו גם לצורכי עבודה ולגישה למידע עסקי רגיש – באופן העלול לסכן גם את המידע הזה.
אפלקציות הכרויות הפכו לכלי שימושי בשירותם של רווקים מכל הגילים, המעוניינים לפגוש באנשים חדשים. מחקר של חברת Pew Research מעלה כי אחד מכל עשרה אמריקאים השתמש באתר הכרויות או באפליקציה לצורך זה, ומספר האנשים שנפגשו בפועל עם מישהו אותו הכירו ברשת עלה ל- 66% .
לדברי אריק צוקרמן, מנהל מעבדת יבמ בישראל לאבטחת יישומים, "משתמשים רבים מנצלים את המכשיר הנייד שלהם למגוון רחב של יישומים – ובוטחים בהם. האמון הזה הוא שמספק להאקרים, את ההזדמנות לנצל נקודות תורפה דוגמת אלו שמצאנו באפליקציות ההכרויות. משתמשים צריכם להיות זהירים שלא לחשוף מידע אישי רב מדי במסגרת אתרים אלה: המחקר שלנו מעלה כי משתמשים מסויימים עלולים לשלם מחיר יקר, במצבים בהם הנגישות הרחבה יותר של האתרים מובילה לרמה נמוכה יותר של אבטחה ופרטיות".
חוקרי האבטחה של יבמ גילו כי 26 מתוך 41 אפליקציות ההכרויות הפופולאריות בארה"ב לסביבת אנדרואיד, אותן בחנו, מאופיינות ברמה בינונית או גבוהה של נקודות תורפה בתחום האבטחה. הבדיקה מבוססת על אפליקציות הכרויות שהיו זמינות באפ-סטור של גוגל, במהלך אוקטובר 2014.
נקודות התורפה והפרצות שזוהו על ידי צוות האבטחה של יבמ מאפשרות לפורצי מחשבים ומערכות לאסוף מידע אישי רב ערך אודות המשתמש. לעומת אפליקציות מסויימות המפעילות כלים הולמים לשמירה על הפרטיות, גילו מומחי יבמ כי פורצים עשויים לנצל נקודות תורפה רבות, בשורת תסריטים בעייתיים.
אפליקציות הכרויות עלולות לשמש להפצת קוד זדוני. הציפיה להכרות חדשה היא מאותם רגעים בהם נוטים משתמשים להפחית מעירנותם. אחדות מהאפליציות הפגיעות עלולות להוות בסיס לתכנות מחדש בידי פורצי מחשבים, שיאפשר להם לשלוח הודעה המבקשת מהמשתמש להקיש על קישור לצורך עדכון התוכנה או לשליפת הודעה ולנצל את ה"עדכון" או ה"הודעה" על מנת לשלוח קוד זדוני אל המכשיר המשתמש.
נתוני GPS מאפשרים מעקב אחר מיקום. הבדיקה של יבמ העלתה כי 73% מ-41 מאפליקציות ההכרויות הפופולאריות שנבחנו, מסוגלות לגשת אל נתוני מיקום נוכחיים או אל נתוני עבר השמורים במכשיר. פורצי מחשבים יכולים לנצל את המידע הזה על מנת לזהות את מקום המגורים, מקום העבודה או מקום הבילוי של המשתמש ולנצל את המידע הזה למטרותיהם.
גניבת נתוני אשראי. 48% מהאפליקצייות שנבחנו על ידי מומחי יבמ יכולות לגשת אל נתוני חיוב האשראי של המשתמש, השמורים בטלפון.
השתלטות על המצלמה והמיקרופון במכשיר הקצה אפשרית בעזרת ניצול נקודות התורפה שזוהו על ידי חוקרי יבמ. הפורצים יכולים להשתמש במצלמה ובמיקרופון גם כאשר המשתמש אינו מזוהה באפליקצית ההכרויות – ולרגל אחר מי שהתקין את האפליקציה בכל שעה, לרבות במהלך פגישות עבודה או אירועים פרטיים.
ניתן "לחטוף" את פרופיל המשתמש באתר ההכרויות. פורץ המחשבים יכול לשנות את התוכן והתמונה בכרטיס האישי באתר ההכרויות, להתחזות למשתמש ולתקשר עם משתמשים אחרים באפליקציה, או להדליף מידע אישי על מנת לפגוע במשתמש. כאן, נוצר סיכון גם מבחינתם של משתמשים אחרים באותה אפליקציה, כיוון שהחשבון המופעל על ידי מתחזה עלול לשמש על מנת להונות אותם, ולשכנע אותם לחשוף בפני הפורץ גם מידע אישי שלהם.
אחדות מנקודות התורפה שזוהו באפליקציות ההכרויות כוללות הפעלת פקודות העוברות בין אתרים שונים באמצעות משתמשים (cross site scripting via man in the middle), תרמיות זהות בדויה וגניבת זהות – phishing, ושימוש במכשיר הנייד עצמו לצורך התקפות על צד שלישי.
כך, למשל, עלול פורץ ליירט קבצי Cookie של האפליקציה, באמצעות חיבור Wi-Fi ומשם להמשיך ולחדור לרכיבים נוספים במכשיר דוגמת מצלמה, GPS ומיקרופון, אליהם רשאית האפליקציה לגשת. פורץ כזה יכול גם ליצור מסך התחברות מזוייף, על מנת לגנוב את פרטי הזיהוי האישיים של המשתמש ולשתף כל מידע אותו הוא מעביר אל אתר ההכרויות.
הן המשתמשים באתרי ההכרויות ובאפליקציות המובייל שלהם, והן מפעילי האתרים והאפלקציות האלה, יכולים לנקוט בשורת צעדים על מנת להתגונן.
ביבמ ממליצים בפני המשתמשים שלא לנדב עודף מידע אישי באתרים אלה, דוגמת זיהוי מדוייק של מקום העבודה, יום ההולדת או הפרופיל ברשתות חברתיות – עד לרגע שבו מרגיש המשתמש די ביטחון באדם עימו הוא מתקשר באמצעות האפליקציה. יש לבדוק את ההרשאות אותן מבקשת האפליקציה בעת ההתקנה הראשונית שלה – ולהחליט אל איזה יישומים ואל איזה נתונים להתיר לה לגשת. המלצה נוספת של מומחי יבמ, היא לבחור בססמא שונה לכל אתר או חשבון אותו מנהלים, ולא להשתמש בססמא אחידה. כך, ניתן לצמצם את הסיכון לפריצה מקבילה אל חשבונות באתרים שונים. יש להקפיד להתקין טלאי אבטחה ועדכונים מיד עם שחרורם ולהשתדל להשתמש אך ורק ברשתות Wi-Fi שבבעליהן ניתן לבטוח.
ברמה הארגונית, ממליצים מומחי האבטחה של יבמ להקפיד להתגונן בפני הסיכונים הכרוכים בהתקנת אפליקציות הכרויות על גבי מכשירי מובייל המשמשים לצורכי עבודה ועובדים בתקשורת עם הרשתות הארגוניות. יבמ מצאה כי בקרוב למחצית מהארגונים שנדגמו לצורך מחקר זה, הותקנה לפחות אחת מאפליקציות ההכרויות הפופלאריות על מכשירים ניידים של הארגון או על מכשירים של עובדים העושים שימוש במכשיריהם הפרטיים במסגרת העבודה (BYOD).
על מנת להתמודד עם סיכונים אלה, ממליצים מומחי יבמ להקפיד ולהפעיל מערכת ניהול סביבת מובייל ארגונית (EMM) ולשלב בה יכולות ניהול סיכונים למכשירים ניידים (MTM), באופן שיאפשר לעובדים להשתמש כרצונם במכשיר הפרטי ועדיין לשמור על רמה גבוהה של אבטחה במסגרת הארגון.
ביבמ מדגישים כי חשוב להתיר הורדה והתקנה של אפליקציות רק ממקורות מורשים, דוגמת החנות של גוגל, iTunes וחנות האפליקציות הארגונית ולא מאתרים בלתי מוכרים. מפתח להצלחת מדיניות האבטחה, הוא תהליך שיטתי של הדרכה, הסברה והכשרת העובדים להתנהלות בעידן המובייל – כמו גם תקשור מיידי של של כל איום פוטנציאלי חדש. לצורך זה, יש להגדיר כללי מדיניות והתנהלות בעת גילוי נקודות תורפה או ניסיונות פריצה ולפעול במיידיות כאשר מתגלה מכשיר פרוץ.