רומן סייבר: אפליקציות ההיכרויות המובילות לא מוגנות מפני פריצה
שולחים תמונות או מידע אישי לבני זוג פוטנציאליים? בדיקה של חמש אפליקציות הדייטינג המובילות בארה"ב חשפה בכולן פרצות אבטחה. בחלקן אף נמצא שכל תעבורת המידע נשלחה ללא הצפנה
- הפיצ'רים החדשים במסנג'ר של פייסבוק: ריבוי חשבונות וניהול הודעות סמס
- בריטניה: זינוק במספר התלונות על אונס בעקבות היכרות באפליקציה
- לקוחות של עליבאבא? כדאי שתחליפו את פרטי הגישה לחשבון
מחקר של מכון פיו (Pew) האמריקאי מצא שקרוב ל-38% מהדייטים של רווקים אמריקאיים מקורם באתרים או אפליקציות היכרות. במדינת ישראל הפופולריות של אתרי ההיכרויות לא מפסיקה לצמוח ובצדק. הם מהווים דרך טובה להכיר בת או בן זוג פוטנציאלי מבלי להידרש לפאב מעושן או למועדון רועש.
עם זאת, כל אתרי ההיכרויות והאפליקציות לוקים מבחינת אבטחת מידע ושמירה על פרטי המשתמשים. מין פיו הונג, מנכ"ל חברת הסייבר SEWORKS בדק את חמש האפליקציות המובילות בתחום בארה"ב ומצא שכולן הכילו פרצות אבטחה מסוג כזה או אחר.
לא מדובר באפליקציות קיקיוניות, אלא בכאלה שמובילות את טבלאות ההורדות בגוגל פליי ובאפסטור של אפל. כולן, למשל, נמצאו חשופות להינדוס לאחור, טכניקה שמאפשרת להאקרים למצוא פרצות ולנצל אותן לגניבת מידע. הונג אמנם לא פירט את שמות האפליקציות מסיבות מובנות, אך הוא הביא דוגמאות מעשיות לכיצד ניתן לנצל את הפרצות האלה לגניבת מידע אישי.
דוגמאות לפריצות כאלה חוזרות חדשות לבקרים, ב-2014 למשל, סנאפצ'אט ספגה פריצה שהביכה את המשתמשים, במקרה אחר בשנה שעברה, הייתה זו אפליקציית דייטינג המיועדת לנשאי נגיף ה-HIV שפרטי משתמשיה נגנבו. עוד מצא הונג שבאף אחת מהאפליקציות שנבדקו לא קיימת הגנה על הצ'אטים שמנהלים המשתמשים.
בחלקן אף נמצא שכל תעבורת המידע נשלחה ללא הצפנה, כך שהאקר לא צורך לעבוד קשה על מנת לקרוא את התשדורות. צוותו של הונג מצא שלוקח פחות משעה בממוצע על מנת לפרוץ את האפליקציות, תוך שימוש בכלים שהיו זמינים בקלות ברחבי הרשת לכל האקר חובב.
במקרים רבים מדי ניכר כי אבטחת מידע המשתמשים לא היוותה שיקול עיקרי במהלך פיתוח האפליקציה. אחת ההמלצות העיקריות של הונג למפתחים היא להסתיר את קוד המקור של האפליקציה כדי למנוע אפשרות לבצע הנדסה לאחור שלו.
אולם גם המשתמשים צריכים להיזהר ולהשתמש במספר כללי אצבע: מומלץ להימנע משליחת פרטי כרטיס אשראי ישירות דרך האפליקציה, ככל שניתן, עדיף למצוא דרכים חלופיות כגון תשלום דרך פייפאל או ישירות מול המוקד. הימנעו משיתוף של פרטי מידע אישי. אל תשלחו תמונות אינטימיות דרך הסלולר, באמת. הימנעו מהקלקה על קישורים שמופיעים במהלך הצ'ט, ולסיום בידקו היטב את ההרשאות שהאפליקציה מבקשת מכם, אלה שדורשות מכם גישה לתכונות שאינן קשורות באופן ישיר לפעולת האפליקציה אמורות לעורר את חשדכם.