אפליקציות הליכוד והעבודה לא שומרות על הפרטיות שלכם

חוקרי צ'קפוינט מצאו פרצה באפליקציית הליכוד שחושפת מספרי תעודות זהות ופרטי כרטיסי אשראי של חברי המפלגה • אפליקציית העבודה מחלצת את רשימת אנשי הקשר של המשתמשים ללא ידיעתם ומעלה אותה לשרת חיצוני

פגיעה בפרטיות / צילום: שאטרסטוק
פגיעה בפרטיות / צילום: שאטרסטוק

חוקרי צ'קפוינט מצאו פרצות אבטחה חמורות ושימוש במידע אישי ורגיש באפליקציות רשמיות של מפלגות המתמודדות בבחירות לכנסת. החוקרים מצאו כי שלוש מהמפלגות בלבד מנהלות אפליקציה רשמית: מפלגת ישר, מפלגת הליכוד ומפלגת העבודה. השתיים האחרונות מנהלות פריימריז ולהן אלפי מתפקדים המשתפים איתן מידע פרטי רב. האפליקצייה הראשונה מצהירה על עצמה כי היא מערכת "הדגמה" (Demo) בלבד. צ'ק פוינט מסרה את עיקרי הממצאים למפלגות השונות ולגורמים ממשלתיים רלבנטיים לפני פרסום הדברים, וכי מפלגת הליכוד טיפלה בפרצת האבטחה במהירות.

באפליקציית הליכוד, מצאו החוקרים פרצה המאפשרת לקבל את פרטיו של כל חבר ליכוד. התחברות לאפליקציה דורשת הקשת קוד אימות בן 4 ספרות המתקבל בהודעת SMS. משום שמדובר בקוד קצר ניתן לעקוף את תהליך האימות בקלות על ידי מתקפת Brute Force - מתקפה הכוללת ניחוש של מספר רב של צירופים אפשריים כדי לדלות סיסמה. לקוד בן 4 ספרות קיימים עשרת אלפים צירופים אפשריים, אשר כל מחשב אישי פשוט מסוגל לפצח בתוך מספר דקות. עם הקשת הקוד, האפליקציה חושפת את מספר תעודת הזהות ופרטי כרטיס האשראי של אותו חבר ליכוד, באופן לא מוצפן ובניגוד לנהלי הבטיחות. בפריימריז האחרונים של המפלגה שנערכו בפברואר השנה, היו חברים במפלגה למעלה מ-119 אלף חברים רשומים, כולם חשופים למתקפה.

פרטי חבר ליכוד מוצגים אוטומטית לכל דורש בהינתן מספר ת.ז. / קרדיט: צ'קפוינט
 פרטי חבר ליכוד מוצגים אוטומטית לכל דורש בהינתן מספר ת.ז. / קרדיט: צ'קפוינט

ממשק הניהול של האפליקציה, המשמש את המפעילה לנהל את מאגרי המידע, אמנם דורש הזדהות של שם משתמש וסיסמא, אך נמצא נגיש לאינטרנט וחשוף למתקפות סייבר. האפליקציה מסתמכת על שני שרתים לצורך אחסנת המידע והפונקציות השונות בה. התקשורת עם השרתים הללו מתבצעת בפרוטוקול http לא מאובטח כך שהפרטים הרגישים שמוזנים על ידי כל משתמש, הכוללים מספרי תעודות זהות ופרטי כרטיס אשראי, חשופים לעיני צדדים שלישיים. 

שימוש בתקשורת לא מאובטחת למאגר המידע של האפליקציה / קרדיט: צ'קפוינט
 שימוש בתקשורת לא מאובטחת למאגר המידע של האפליקציה / קרדיט: צ'קפוינט

באפליקציית העבודה לא נמצאה פרצה שחושפת מידע לצדדים שלישיים, אלא למפלגה עצמה: האפליקציה הרשמית של מפלגת העבודה מאפשרת למשתמש, בנוסף לאפשרות להתעדכן בחדשות ובאירועים האחרונים, גם להשפיע. החלק המרכזי של האפליקציה מאפשר למשתמשים להעלות את רשימת אנשי הקשר ממכשיר הטלפון שלהם ולסווג אותם לקטגוריות לפי מידת התמיכה של כל איש קשר במפלגת העבודה ומידת הפתיחות שלו לשינוי עמדה. האפליקציה מבטיחה כי כל זאת נעשה על מנת לאפשר למשתמש לשלוח הודעות טקסט מוכנות מראש למכריו כדי לשכנעם לתמוך בעבודה. אולם, חוקרי צ'קפוינט מצאו כי האפליקציה מחלצת את רשימת אנשי הקשר של המשתמשים ללא ידיעתם ומעלה אותה לשרת חיצוני.

צילום מסך מתוך אפליקציית מפלגת העבודה / קרדיט: צ'קפוינט
 צילום מסך מתוך אפליקציית מפלגת העבודה / קרדיט: צ'קפוינט

האפליקציה מאפשרת למפלגה לעבור על כל אנשי הקשר של המשתמשים, ולאתר את האנשים הקרובים אליהם על ידי חיפוש סיומות ותחיליות חיבה והקטנה המוצמדות לשם, ומילות קירבה ואהבה. כך למשל "אמא", "אבא", "סבתא" יסווגו כקשרים קרובים, כמו גם כל מי שמסתיים ב"צ'וק", "צ'יק", "ל'ה" אשר ישמרו במאגר המידע כבעל קשר קרוב במיוחד אל המשתמש. החוקרים ציינו כי למרות סוגיית הפרטיות, כל המידע שמועבר לשרת, מועבר בצורה מוצפנת, כמצופה בטיפול מתעבורה עם מידע רגיש.

תגובת הליכוד: "קיבלנו את פניית צ׳ק פוינט, טיפלנו בפירצה מייד - מידע אישי לא דלף ושום נזק לא נגרם".

ממפלגת העבודה נמסר בתגובה: "מודים לחברת צ'ק פוינט שציינה לחיוב את רמת אבטחת המידע של מפלגת העבודה. מטרת האפליקציה היא לאפשר לפעילי המפלגה לשכנע את חבריהם באמצעות העברת תכנים באופן ישיר. לשם כך האפליקציה נדרשת לגשת לאנשי הקשר של המשתמש. הטענה המוצגת איננה נכונה מאחר וכדי לקבל גישה לרשימה נדרשת הסכמתו של המשתמש באפליקציה, כפי שנדרש בחנויות האפליקציות וכפי שעושות עוד אלפי אפליקציות ברחבי העולם. מיפוי אנשי הקשר נעשה עבור שיפור חוויית המשתמש בלבד והוא אינו נשמר".

● רגע לפני הבחירות: ניידת "מצביעים כלכלה" בדרך אליכם

מצביעים כלכלה
 מצביעים כלכלה

רוצה להשאר מעודכן/ת בנושא גלובס טק?
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988