חברת הסייבר הישראלית, צ'ק פוינט, מצאה פירצות אבטחה חמורות בעשרות יישומים שהורדו מהחנות. אותן פירצות, על פי ממצאי החוקרים, חשפו מידע פרטי על מעל ל-100 מיליון משתמשים באמצעות הגדרה לא נכונה של שירותי הענן. המידע שנחשף כתוצאה מכך כולל, בין היתר, כתובות אימייל, הודעות אישיות, נתוני מיקום, סיסמאות, תמונות של משתמשים ועוד. בידיים הלא נכונות, הנתונים האלה עלולים להוביל להונאה, גניבת זהות ואף חמור מכך, במיוחד אם חלקכם משתמשים באותן הסיסמאות בכמה אתרים.
על פי הדיווח של צ'ק פוינט, החברה ציינה רק 5 אפליקציות מתוך ה-23 והן: Ifax, Screen recorder, an astrology, taxi, logo-maker, T'Leva, Astro Guru. שאר האפליקציות טרם פורסמו מכיוון שהמפתחים טרם עדכנו אותן, אך הן עוסקות בצילום מסך, בדיקת אפליקציות, הפקת חשבונויות, ואף אפליקציות מסרים פופולריות. לכן, אם אתם משתמשים באפליקציות עבור הקטגוריות שצוינו, יש לבדוק מתי התבצע העדכון האחרון, והאם החברה המפתחת מוכרת.
"מרבית האפליקציות שבחנו עדיין מציגות מידע אישי של משתמשים. איסוף מידע שכזה על ידי שחקנים עוינים עלול להיות מסוכן שכן הוא משומש במתקפות המשך- התחזות, דיוג, משיכה בכרטיס ועוד. העניין הזה ימנע אח מפתחי אפליקציות ינהגו בהתאם לנדרש עם המידע של המשתמשים באפליקציות ויתכנתו את האפליקציות באופן שישמור על המידע ולא ישאיר אותו חשוף", אמר אבירן חזום, מנהל מחלקת מחקר מובייל בצ'ק פוינט.
צוות המחקר של צ'ק פוינט מצא מסדי נתונים מ-13 אפליקציות שונות, המתעדכנים בזמן אמת. המידע בהן זמין לציבור ואינו מוגן. מדובר בנתון מדאיג במיוחד, שכן אותן יישומים הורדו בין עשרות אלפי פעמים לעשרה מיליון פעמים. כמו כן, הצוות גילה כי התראות מסוימות ומפתחות הזיהוי לאחסון בענן שולבו בקוד עצמו של חלק מהאפליקציות. ביניהן ניתן למצוא אפליקציית אסטרולוגיה, שירות הזמנת מוניות, יישום להקלטת המסך ואחת נוספת לשליחת פקס - כולן אפשרו להאקרים לקבל מידע על המשתמשים והמפתחים. לדוגמה, אפליקציית "Screen Recorder", שהורדה מעל ל-10 מיליון פעמים, אפשרה לגורמים זדוניים לקבל גישה להקלטות המסך שנעשו דרכה. בנוסף אליה, "iFax", שהורדה כמעט מיליון פעמים, אפשרה גישה לכלל המסמכים שנסרקו דרכה.
חשוב לציין שמדובר בפירצה מוכרת, וכבר במשך מספר שנים היא ממשיכה להיות נפוצה. בכך היא משפיעה על מאות מיליוני אנשים מדי שנה. למעשה, בצ'ק פוינט אישרו כי כל מה שחוקריהם עשו היה לנסות לגשת למידע. לדבריהם, לא הייתה רשת ביטחון כלל שמנעה את הגישה שלהם למסד הנתונים. החברה פנתה לגוגל ולמפתחי האפליקציות ושיתפה אותם בנוזקות שנחשפו. כמה מהם כבר הודיעו שעדכנו אותן על מנת לפתור את התקלה.
כך תגנו על עצמכם
בראש ובראשונה, הורידו אפליקציות אך ורק דרך החנות הרשמית של גוגל או אפל ולא דרך מקורות צד שלישי. נסו שלא להשתמש באותם פרטי הכניסה בכל יישום ושימו לב לאילו חברות אתם נותנים מידע אישי, כמו כתובת, מיקום וסיסמאות. כמו כן, עדכנו את הסמארטפון שלכם לגרסה האחרונה ביותר.