טראמפליקציה ויישומודי – מצאנו בכם פירצות ‍ סייברסייבר ע02פ27

בפרק זה של סייברסייבר: פירצות אבטחה ביישומון קמפיין טראמפ 2020, מערכת הכסף הממשלתית של הודו ומספר יישומונים שדלפו פרטים על משתמשים

להאזנה ומנוי לסייברסייבר באפליקציות השונות

---

טראמפ מאבד את המפתחות

• 

יישומון בחירות 2020 הרשמי של דונלד טראמפ מאפשר לו לשמור על קשר ישיר עם הבוחרים, תוך עקיפת הצנזורה וההשעיות של ענקיות הרשתות החברתיות. נעם רותם ורן לוקאר, חוקרי הסייבראבטחה של מעבדות סייברסייבר לאבז ו-Website Planet, גילו ביישומון פירצת אבטחה שעלולה היתה לחשוף מידע על משתמשי היישומון, כמו גם (פוטנציאלית) לנתק את חשבון הטוויטר של טראמפ מהיישומון. הפיתוי היה גדול, אבל ביצענו אסגרה אחראית של הפירצה, ואנשיו של טראמפ חזרו אלינו במהירות, סגרו אותה והוציאו גירסה חדשה ומאובטחת יותר של היישומון. פרסמנו את הסיפור בפודקאסט סייברסייבר ובשיתוף עם אתר פוליטיקו.

היישומון, Official Trump 2020 App שמו, פותח במשך חצי שנה עבור קמפיין הבחירה מחדש של הנשיא טראמפ, והושק באמצע אפריל עבור iOS ואנדרואיד. הוא נבנה להדהד ולהגביר את חשבונות המדיה החברתית הקיימים של טראמפ, שהוא מרכז ומציג. במקביל, היישומון משמש כרשת חברתית עצמאית, שחותרת תחת תקנוני השימוש, הצנזורה והצנזורה האפורה, ההשעיות ובדיקת העובדות של הרשתות החברתיות. אלו הודגמו חודש לאחר מכן, כשטוויטר סימנו ציוצים של טראמפ כבלתי מדוייקים עובדתית, והוא השיב אש בהוצאת צו נשיאותי נקמני.

“כל אדם שרוצה לתמוך בטראמפ יכול להוריד את היישומון ישירות, לקבל מידע, לתקשר איתנו, בלי צורך בחברה צד ג’ שאולי יש ואולי אין לה הטייה נגדנו”, הסביר בראד פארסקייל, מנהל הקמפיין של טראמפ, בראיון ל-CNN. מטרתו ארוכת הטווח היא להפוך לפלטפורמה חדשה לתקשורת בין טראמפ לתומכים, במיוחד אם “ענקיות המדיה החברתית או חברות תקשורת יחליטו לשחק עם הנשיא טראמפ” ולחסום את התקשורת שלו. “אם משהו יקרה, הפיד הזה נשלט על ידינו ונמצא בבעלותנו דרך היישומון שלנו, בלי תיווך של חברות צד ג’. רציתי יישומון שנמצא בבעלותנו הישירה, כך שאם נצטרך לתקשר איתם ישירות, נוכל לעשות זאת”.

צוות הסייבראבטחה שלנו ניתח את היישומון ומצא מפתחות וסודות – המקבילים לשמות משתמש וסיסמאות, שהעניקו גישה לחלקים שונים של היישומון, ובהם ה-Twitter API, ממשק תכנות יישומים שדרכו היישומון מתממשק למידע ולשירותים של טוויטר. ב-APK – פורמט ארכיוני שמכיל את כל קבצי גירסת האנדרואיד של היישומון, מצאנו מידע חשאי, כולל:

● מפתחות וסודות Twitter Application 

● מפתחות Google apps

●  מפתחות Google maps

● מפתחות Branch.io (כלי לניתוח סטטיסטיקות בסלולר)

בעוד המפתחות החשופים איפשרו גישה לשלל מקומות ביישומון, מסקנת המחקר שלנו היא שחשבונות המשתמשים נותרו בלתי נגישים דרך הפירצה שמצאנו. לא ניסינו להיכנס לחשבונות משתמשים ביישומון, מתוך מחשבה שהפירצה הראשונית חמורה מספיק להתריע בפני צוות הקמפיין של טראמפ. הסקנו גם שתוקף יזדקק לשני מפתחות נוספים, שלא נחשפו בפירצה, כדי לחדור לחשבונות משתמשים ביישומון, ובהם החשבון של טראמפ.

אולם האקר זדוני יכול היה להשתמש במפתחות שכן נחשפו כדי להתחזות ליישומון, וחמור מכך. למשל, בשימוש במפתחות branch.io, האקר יכל פוטנציאלית לקבל גישה למידע על המשתמשים והשימוש שהם עושים באפליקציה.

• 

כשהבנו את פוטנציאל הנזק של הפירצה, בו ביום שגילינו אותה, פנינו לצוות היישומון של הקמפיין, כמו גם ישירות לאנשים בצוות של טראמפ, והודענו להם על החשיפה. צוות אבטחת המידע שלהם ענה תוך שעות ספורות, ואנחנו ביצענו אסגרה אחראית ומסרנו להם את פרטי הפירצה. כאמור, הם סגרו אותה והוציאו גירסה חדשה ומאובטחת של היישומון.

החשיפה, שנבעה מטעות אנוש, היא משמעותית וחמורה. במילים פשוטות, היישומון לא אמור היה לחשוף מידע רגיש כל כך. ניתן היה להימנע מחולשות אבטחה כאלו אם צוות הפיתוח היה מתנהל לפי נהלים קפדניים יותר, מטמיע נהלי אבטחה חזקים יותר, מאבטח את המפתחות ומונע מהסודות להיות חשופים.

---

---

<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

אם אתם מחפשים אחסון לפודקאסט, אנחנו ממליצים ללקוחות שלנו על פודבין. יש חבילה בסיסית בחינם שמאפשרת להתנסות בשירות, ואפשר לשדרג לחבילה בתשלום. אם תירשמו דרכנו כאן podbean.com/podcastico – אנחנו נקבל כמה שקלים, ואתם תקבלו מפודבין חודש במתנה.

<\חסות>

---

---

מודי לא שומר על הכסף

מצאנו פירצה גם ב-BHIM, יישומון הכסף הדיגיטלי של הודו. הפירצה חשפה פרטים אישיים ופיננסיים על מיליוני הודים. למערך הסייבר ההודי לקח חודש, שיחה איתנו דרך משרד החוץ ואיומים מרומזים נגדנו עד שסגרו את הפירצה.

• 

בקטנה

• וי-שרד, יישומון תזונה וכושר, חשף מעל 600 גיגהבייט של מאמנים ומתאמנים, כולל תוכניות אימונים תמונות לפני ואחרי.
• קבוצת אתרי הכרויות סינית לאמריקאים חשפה פרטים, תמונות וצ’טים של משתמשים.
• 8 בלטס, יישומון לימוד מרחוק לבתי ספר ולחברות, חשף פרטים של מאות אלפי לקוחות.
• קי-רינג, יישומון שמחליף כרטיסי הנחה, כרטיסי מועדון, כרטיסי אשראי וכרטיסי מתנה (גיפטקארד), חשף אותם לשימוש זדוני.     

• 

---

חדש! הקו החם והפריך של סייברסייבר!

תגובות לפרק? דיווחים על פירצות ופריצות? מתכוני מאפים? שילחו הודעה קולית

055-2776766

(אפשר גם לשלוח תרומות בפייבוקס למספר הזה)

---

---

אם אתן רוצות להמשיך להפיק את הפודקאסט שלכן גם בימי הריחוק החברתי, אם אתם רוצים לנצל את הזמן הפנוי להתחיל את הפודקאסט שדחיתם עד עכשיו – דברו איתנו באימייל (Go@podcasti.co) או בטלפון (053-7337419), או בקרו באתר לפרטים נוספים Podcasti.co

---

מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! ‍ סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים מגישים: עידו קינן; נעם רותם עיצוב סאונד: עומר סנש הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

משתתפות.ים

אות הקו החם והפריך של סייברסייבר: נועה ארגוב פינת המאפים: סילאן אשת המאפים

מוזיקה

India / T.Rico cc-by; Tabla Beats Dubstep by Dj AleX India (cc-by); דאם דאם פפדאם / MalayalamKuttiPaatugal; Dub Killer – India / Dub Killer Official cc-by; love. / Jaron Gallo aka (Collapse) cc-by; Boots and Cats / Robert Clouth עטיפה מוזיקלית: Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) פרסומות: 80s by Fryc (cc-by) אות פינת המאפים: פּוּצִיםפּוּצִים מיקס: עומר סנש

קולות

משחק הווידאו רובוקופ; מנכ”ל זום, אריק יואן, בשיחה רבעונית עם משקיעים; אדוארד סנואודן בכנס אורנשטיין חושן; דדי, חתול המיחזור של תמיר; אש! / IT Crowd; טראמפ מספר שנבדק ונמצא חיובי / פוקס ניוז; טראמפ על דרגת האייקיו של אנשים; אתה רוצה לפתח יישומון? (1, 2) / ריק אנד מורטי; אמריקה, פאק יה! / טים אמריקה; טראמפ קורא ל-CNN פייק ניוז / Turning Point USA; מעריצי טראמפ שרים / Cal Perry; ידית דלת נעולה / Kyle1Katarn cc-by; צ’אק טסטה; נתניהו על נרנדרה מודי, נשיא הודו; הארנק גורם לג’ורג’ כאבי גב / סיינפלד; כרטיס מתנה / קופה ראשית

חדשות סייברסייבר: @OhCyberMyCyber כיתבו לנו אל cyber@podacsti.co הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 תרומות בפייבוקס למספר 055-2-776766

---

תגובות

• מה זה פה?

  חדר 404 של עידו קינן הוא מגזין תרבות דיגיטלית, טכנולוגיה וחיי רשת. הקליקו למידע נוסף »

  Room 404 by Ido Kenan is an Israeli based digital culture magazine. Click for more info in English »

• רוצה להפיק פודקאסט?

  

• המלצת סייברסייבר (מ)

  

• פרנסה

  

• לאחרונה בחדר 404

  • ילד, רובוט התמיכה הרגשית שלך עומד למות האחראי על האינטרנט בגלצ
  • שליחות קטלנית בלי ביטוח רפואי האחראי על האינטרנט בגלצ
  • ה-NFL מזייפים את אלישה קיז, קנדה אייר מאשימים את הצ’טבוט ומפסידים האחראי על האינטרנט בגלצ
  • שתיקטוק האחראי על האינטרנט בגלצ
  • איך מדרגים בעברית?
  • שקר הביטקוין, קיץ חם במקרר של שופרסל, הצופן היווני ועוד עדכוני סייברסייבר
  • זום מסתבכת עם העובדים והמשתמשים האחראי על האינטרנט בגלצ
  • אילן מאסק ממשיך לחטוף יוזרים בטוויטר
  • ברכות לסופרת בינה מ. על כניסתה לרשימת רבי המכר של קינדל
  • פסיקה עלולה לתת למו”לים שליטה מוחלטת על השאלת ספרים דיגיטליים בספריות
  • תומכי נטלי דדון מבצעים לינצ’טרנט שנמוך דירוג בבית-קפה הלא-נכון
  • זעם נגד תרגום המכונה האחראי על האינטרנט בגלצ
  • מתמונות חתולים לפוליצר – חדשות באזזפיד נסגרים האחראי על האינטרנט בגלצ
  • תיק-תק לחסום את טיקטוק האחראי על האינטרנט בגלצ
  • זו תרבות ביטול על כלום האחראי על האינטרנט בגלצ

•