חוקר ישראלי: "מצאתי פרצות אבטחה חמורות במכשירי וואן פלוס - החברה לא מגיבה"
לפי החוקר, רועי חי, הפרצות מאפשרות להתקין על המכשירים גרסת הפעלה טעונה בנוזקות; לדבריו, החברה עדיין לא הגיבה - אף שהודיע לה על כך לפני 3.5 חודשים
חוקר אבטחת המידע הישראלי רועי חי דיווח על ארבע פרצות אבטחה חמורות במכשירי וואן פלוס הסינית כך עול מדיווח של אתר האקר ניוז אתמול (חמישי). הפרצות מאפשרות להמיר את גרסת מערכת ההפעלה של המכשירים ולהתקין עליהם גרסה טעונה בנוזקות - כך על פי הדיווח.
קראו עוד בכלכליסט:
- וואן פלוס 3: התבגרות היא לא מלה גסה
- הושק הוואן פלוס 3: מפרט של מכשיר דגל בחצי המחיר
- אפל תשלם עד 200 אלף דולר למי שידווח על פרצות אבטחה במוצריה
הפרצות שחי זיהה במקביל לזיהוי פרצה במנגנון עדכון הגרסאות של מערכת ההפעלה וואן פלוס, על ידי חוקר ישראלי נוסף בשם שגיא קדמי, מאפשרות לגורם עוין להחליף את גרסת מערכת ההפעלה שמותקנות על המכשיר. השיטה שמאפשרת זאת נקראת תקיפת Man in the Middle או יירוט התקשורת בין המכשיר לשרתי החברה בידי גורם זדוני.
וואן פלוס צילום: Android community
בלי להכביר בפרטים טכניים, הפרצות שזוהו עשויות לגרום לצרות עבור בעלי המכשירים האלה, שזוכים לפופולריות רבה גם בישראל. עם זאת החלק הבעייתי בדיווח הוא לא זיהוי הפרצות, שאינו כה יוצא דופן במכשיר מבוסס גרסת אנדרואיד קניינית, אלא בחוסר התגובה של היצרנית.
בדרך כלל יצרנים או מפתחים נוטים לקחת ברצינות דיווחים של חוקרי אבטחת מידע רציניים כגון חי וקדמי. במקרה הנוכחי וואן פלוס כך על פי עדותו של חי אפילו לא טרחה לענות לו. לטענתו הדיווחים על הפרצה נשלחו כשלושה וחצי חודשים לפני שהחליט לפרסם אותם בפומבי והוא עשה זאת רק כי החברה לא טרחה להתייחס לדיווח.
הסיבה העיקרית לכך שהפרצות האלה קיימות מלכתחילה היא שוואן פלוס לא טורחת לאבטח את התקשורת בין שרתי עדכון מערכת ההפעלה ובין המכשירים של המשתמשים. התוצאה היא שגורם עוין יכול לנצל את החולשה הזו כדי לתקוף את המכשירים מבלי שהמשתמשים יוכלו להגן על עצמם.
