פרצות אבטחה באפליקציות הליכוד והעבודה
מחקר של חברת צ'ק פוינט חושף כי האפליקציות הרשמיות של שתי המפלגות מכילות פרצות אבטחה חמורות ושואבות מידע רגיש על משתמשים - כולל רשימות אנשי קשר וכתובות מייל
אם אתם חברי מפלגת הליכוד, העבודה או ישר, או פשוט משתמשים באפליקציות שלהן - אתם חשופים: מחקר חדש של חברת אבטחת המידע הישראלית צ'ק פוינט, חושף כי באפליקציות הרשמיות של המפלגות התגלו ליקויי אבטחה חמורים, וכי הן משמשות לאיסוף מידע על משתמשים. המחקר בחן רק אפליקציות רשמיות ולכן התמקד בעבודה, בליכוד ובישר - היחידות שמפעילות אפליקציות כאלה עבור מתפקדים ובוחרים לכנסת ה-21. הליקויים החמורים נמצאו בשתיים מהאפליקציות - של הליכוד ושל העבודה, ואילו אפליקציית ישר שפועלת לצורכי הדגמה בלבד, עוד לא מהווה סיכון ממשי.
כל מה שצריך לדעת על בחירות 2019 במקום אחד - מתחם הבחירות של ynet
ליקויי האבטחה שנמצאו באפליקציית הליכוד כוללים חילוץ פשוט של רשימת כלל המתפקדים, כולל כתובות מייל, מספרי טלפון, כתובות מגורים ואפילו מצב משפחתי. בנוסף נמצא כי האפליקציה מאפשרת העברת מספרי תעודת זהות וכרטיסי אשראי באופן לא מוצפן ובניגוד לנהלי אבטחה בסיסיים. ממשק הניהול של האפליקציה מחובר לרשת וחשוף למתקפת סייבר. האפליקציה קיימת עבור מכשירי אנדרואיד ואייפון, ותהליך הזיהוי שמתבצע בה כולל סיסמה פשוטה בת 4 ספרות בלבד, שניתנת לפריצה באמצעות כלים סטנדרטיים.
חברי ליכוד המחוברים לאפליקציה יכולים לגשת למידע באמצעות הזנת מספר זיהוי כלשהו, וכך לקבל את כל הפרטים הרגישים, זאת מכיוון שהיא מחוברת למאגר המידע של הליכוד. פרוטוקול התקשורת המחבר בין השרתים אינו מאובטח (http). בצ'ק פוינט מוסיפים כי בפריימריז האחרונים לליכוד היו למעלה מ-119 אלף חברים רשומים - כולם היו חשופים באופן פוטנציאלי עבור משתמשי האפליקציה. בצ'ק פוינט אומרים כי בליכוד טיפלו בפרצת האבטחה במהירות והיו קשובים לממצאים.
גם באפליקציה הרשמית של מפלגת העבודה נמצאו ליקויים מטרידים. נמצא כי האפליקציה שואבת מידע ללא ידיעת המשתמשים בה - כולל רשימת אנשי קשר, מספרי טלפון וכתובות מייל. כל המידע הזה מועבר לשרת חיצוני. בנוסף, האפליקציה ממפה את סוגי הקשרים בין המשתמש לבין אנשי הקשר שלו, במטרה לאתר מצביעים פוטנציאליים - גם זאת ללא ידיעת המשתמשים. בצד החיובי - לפחות המידע שנאסף ומנוטר על-ידי האפליקציה מועבר בצורה מוצפנת.
גם האפליקציה של מפלגת ישר נבחנה, אולם מאחר והכלי של "הצבעה בכנסת" נמצא כרגע כדמו בלבד - קשה להחיל עליה את אותם עקרונות אבטחה. האפליקציה של המפלגה נועדה כדי לממש את עיקרון הדמוקרטיה הישירה, והיא מבטיחה למשתמשים כי נציגי המפלגה יפעלו בכנסת בהתאם להוראותיהם. ההוראות האלה ניתנות, כמובן, באמצעות האפליקציה, מה שחושף אותה לנסיונות התערבות ופרצות אבטחה במטרה להשפיע על תוצאות ההצבעה. אבל כאמור, מדובר במערכת שלפחות בינתיים לא מהווה סיכון משמעותי.
בצ'ק פוינט מסרו כי פנו לנציגי המפלגות ודיווחו על הליקויים השונים. מטעם מפלגות הליכוד והעבודה טרם נמסרה תגובה.
ממפלגת ישר נמסר: "מפלגת ישר מחויבת לסטנדרט אבטחה מחמיר, הכולל ליווי של יועצי סייבר בכירים והעמדת צוות אדום לטובת זיהוי ואיתור חולשות אבטחה פוטנציאליות. אנו פועלים באופן יום-יומי לניטור וחיזוק מנגנוני ההגנה שלנו כחלק מסטנדרט זה. פיצ'ר "הצבעות בכנסת" אכן מוגדר כ-פיצ'ר ניסיוני ולא מחייב, אך פי'צר "הצבעות המפלגה" פעיל ומחייב כבר היום את המפלגה בהחלטות המתקבלות בו".
ליקויי אבטחה באפליקציה
מומלצים