משרדי החברה צ'ק פוינט, החדשות 13

צ'ק פוינט: פרצות אבטחה נמצאו ביישומונים של המפלגות

בדיקה של חברת אבטחת המידע הישראלית העלתה כי האפליקציות של מפלגות הליכוד והעבודה כושלות בהגנה על המשתמשים בהן - ובמקרים מסויימים אף שואבות מידע מהסמארטפון שלכם

חברת צ׳ק פוינט פרסמה היום (רביעי) תוצאות של בדיקה שערכה בקרב אפליקציות המפלגות השונות, שממנה עולה כי נתגלו חולשות אבטחה משמעותיות באפליקציות הסלולריות של המפלגות הגדולות בישראל - כולל אפשרות לחלץ את שמותיהם, פרטיהם ומספרי הטלפון הסלולריים של כלל המשתמשים והתומכים. בחברה יידעו את המפלגות שנבדקו מבעוד מועד, טרם פרסום הדברים.

מתוצאות הבדיקה עולה כי אפליקציית הליכוד מאפשרת לתוקף פוטנציאלי לחלץ בקלות את רשימת כלל המתפקדים לליכוד ופרטיהם האישיים, כולל כתובת מגורים, דואר אלקטרוני, מספרי טלפון, מצב משפחתי ונתונים דמוגרפיים נוספים. בצ'ק פוינט מצביעים בעיקר על השימוש שהאפליקציה עושה בסיסמאות קצרות ופשוטות, המאפשרות פריצה מהירה יחסית, שאורכת דקות בודדות, לכל חשבון משתמש, בהינתן מספר הטלפון שלו. בנוסף נראה כי ממשק הניהול של האפליקציה, המשמש את המפעילה לנהל את מאגרי המידע, אמנם דורש הזדהות של שם משתמש וסיסמא, אך נמצא נגיש לאינטרנט וחשוף למתקפות סייבר. עוד אומרים בחברה כי האפליקציה מעבירה מידע אישי רגיש הכולל מספר תעודת זהות ופרטי כרטיס אשראי באופן לא מוצפן, בניגוד לסטנדרטיים המקצועיים והנחיות האבטחה.

בצ'ק פוינט ציינו כי לליכוד קיימת אפליקציה רשמית לסלולר הן בגרסת Android והן בגרסת iOS לטלפוני אייפון מזה כשנה, כשהעדכון האחרון מספטמבר 2018. האפליקציה המדוברת פותחה על ידי חברת בוזונט (www.bosonet.com) ונועדה בעיקר לחיזוק הקשר של המשתמש עם המפלגה, תוך שהיא מספקת מידע אקטואלי על המפלגה ונציגיה, ופעילותם ברשתות החברתיות. ממפלגת הליכוד נמסר בתגובה כי הם קיבלו את פניית צ'ק פויינט וטיפלו בפירצה מייד. כמו כן דובר המפלגה טוען כי "מידע אישי לא דלף ושום נזק לא נגרם".

 סמארטפון מתקפל של וואווי
 

סמארטפון (החדשות 13 )

 

הבדיקה של החברה מעלה כי הדשא בצד השני של המפה הפוליטית לא ממש ירוק יותר. מסתבר כי אפליקציית מפלגת העבודה עושה שימוש באנשי הקשר השמורים על גבי המכשירים הסלולארים של המשתמשים, וללא ידיעתם, על פי צ'ק פוינט, מעלה אותם לשרת חיצוני. בצ'ק פוינט טענו כי האפליקציה למעשה ממפה את הקשרים החברתיים של המשתמשים על בסיס ניתוח שמות אנשי הקשר, וזאת על מנת למפות את טיב הקשר בין המשתמש לבין אנשי הקשר שלו, ובכך לאתר ככל הנראה מצביעים פוטנציאלים. ניתוח זה נעשה ללא ידיעת המשתמש.

לפי הדוח של צ'ק פוינט, הרי שאפליקצית העבודה לבחירות 2019 פותחה על ידי בית התוכנה Runloop והיא זמינה ב-Google Play  ועבור מכשירי iOS (אייפון) מתחילת השנה. האפליקציה מאפשרת למשתמש, בנוסף לאפשרות להתעדכן בחדשות ובאירועים האחרונים, גם להשפיע על ידי סיווג אנשי הקשר שלו לקטגוריות לפי מידת התמיכה של איש הקשר במפלגת העבודה ומידת הפתיחות שלו לשינוי עמדה. האפליקציה מבטיחה כי כל זאת נעשה על מנת לאפשר למשתמש לשלוח הודעות טקסט מוכנות מראש למכריו. באופן כזה מאפשרת האפליקציה למשתמש ליצור קשר ישיר עם מכריו כדי לשכנעם לתמוך בעבודה. עוד נכתב בדו"ח של צ'ק פויינט כי "האפליקציה מתחייבת כי הגישה לרשימת אנשי הקשר מתבצעת על מנת "לאפשר לך ליצור ולחזק קשרים עם אנשי הקשר שלך וכי תוכן השיחות לא ינוטר ו/או ישמר על ידי המפלגה" - מה שמתברר כהצהרה הרחוקה שנות אור מפעולת האפליקציה בפועל. ממפלגת העבודה לא הגיבו לדברים עד לרגע פרסום הדברים. במידה וזו תתקבל מאוחר יותר, הרי שזו תעודכן בכתבה.

 אפליקציית המסרים הפופולאית ווטסאפ
 

אפליקציית המסרים ( רויטרס)

 

הבדיקה של החברה כללה גם את האפליקציה של מפלגת ישר, אך זו מתפקדת בעיקר כאפליקציית מידע שאינה מקיימת אינטראקציות מרובות עם המשתמש. לגבי מפלגת כחול לבן, הרי שלה כלל אין אפליקציה רשמית. 

"האפלקציות שנבחנו מחזיקות במידע רגיש ביותר על ציבור הבוחרים מכלל הקשת הפוליטית, אשר מציפות סוגיות מהותיות הקשורות לאבטחת מידע ולפרטיות של המשתמשים" כך נכתבה בדו"ח שפירסמה החברה. "במקרים מסוימים שקרו בעבר, פרצות מעין אלו אפשרו לגורמים בלתי מורשים להשיג מידע אישי בעל ערך ולהשתמש בו לצרכיהם. מובן שגישה למידע כמו רשימות מתפקדים וקרוביהם, הכולל ניתוח קשרים חברתיים ופרטים אישים מקיפים אודותיהם, עשויה לסייע במתקפות סייבר משמעותיות. אנו תקווה שהמפלגות המציעות את האפליקציות הנ"ל, יקיימו את הצעדים הנדרשים בכדי לשמור על המידע של המשתמשים, להגן עליהם ועל הליך הבחירות בישראל בעידן בו עשרות אלפי מתקפות סייבר מתרחשות מידי יום".