שוב אנחנו שומעים על אפליקציה סלולרית שחושפת את המידע האישי שלנו. הפעם זו סקייפ. חברת ה-VOIP הגדולה, ששחררה את האפליקציה שלה לאנדרויד באיחור ניכר, שחררה אותה עם כמה חולשות קריטיות, אשר מאפשרות לאפליקציות אחרות לקבל מידע לגביכם, כולל את שם המשתמש והסיסמא.
Vulnerability
ה-vulnerability שהתגלתה, כאמור, היא כזו שמאפשרת לאפליקציות אחרות שיש לכם על הסלולרי לגשת למידע של אפליקציית סקייפ. הבעיה עם ההתנהלות של האפליקציה של סקייפ היא בשתי רמות. ברמה הראשונה, הוגדרו הרשאות לא מתאימות לגבי הקבצים של האפליקציה, כולל הקבצים הרגישים, וכך נוצר מצב בו כל אחד, כולל כל אפליקציה שיש לכם או שתורידו מהרשת/מרקטפלייס, יכולים לגשת אל הקבצים הללו ולבדוק מה יש בהם.
הרמה השנייה חשובה לא פחות, שכן מסתבר שבסקייפ החליטו שזה מספיק לאחסן את שם המשתמש והסיסמא שלנו בצורה לא מוצפנת על גבי הסלולרי. כך יוצא שאם מישהו משיג הרשאות לגשת אל התיקיות של סקייפ ואל התוכן שלהם, הוא יוכל לראות את הקבצים הלא מוצפנים ואת המידע האישי שנמצא בהם.
את ה-vulnerability גילה ג’סטין קייס (Justin Case), שכותב בבלוג לענייני אנדרויד. כמובן שלפני הפרסום הוא פנה לסקייפ והודיע להם שהוא רוצה לפרסם את זה, וביקש גם את תגובתם הרשמית. מבחינת ההתנהגות שלו, חשוב להדגיש שבדומה לחשיפת חולשות בתוכנות נפוצות אחרות, יש חשיבות רבה לעדכן את החברה בטרם פרסום דברים שכאלה, על מנת לתת לה אפשרות להיערך בהתאם ואולי גם לסגור את הפירצה שנתגלתה טרם תתפרסם ברבים.
וידאו: פירצת האבטחה של סקייפ באנדרואיד
תגובת סקייפ
את תגובת החברה המלאה תוכלו לקרוא בפוסט שלהם בבלוג האבטחה של סקייפ. התגובה, בקצרה, היא שסקייפ מודעת לבעיה וההמלצה שלהם למשתמשים כיצד להתגונן מפני פירצת האבטחה (ראו פסקה אחרונה בהמלצה שהם פרסמו) היא להיזהר עם האפליקציות שהם מורידים אל המכשיר (במקור: “…we advise users to take care in selecting which applications to download and install onto their device”).
יש עם התגובה הזו כמה בעיות. לפני הכל, התגובה לא מספקת למשתמשים מידע מפורט על המידע שלהם שעשוי להיות חשוף. בתגובה הם מפרטים כי חלק מהמידע הוא “cached profile information”, אבל, היות ומאחורי ביטוי זה מסתתרת כמות רבה של מידע פוטנציאלי, יש מקום לציין אותו בפירוט. למשל, חשוב היה לעדכן את המשתמשים שעשויה להחשף הסיסמא שלהם בסקייפ, הכתובת שלהם וכל המידע האישי שהם הזינו לפרופיל שלהם. יש צורך לציין מידע זה בפירוט, שכן זה לא ברור בהכרח לכל 10 מיליון משתמשי האפליקציה לאנדרויד שלמידע זה התכוונה החברה.
מעבר לכך, התגובה של סקייפ מקוממת, שלא לדבר על סותרת את עצמה. מצד אחד, החברה כותבת “…We take your privacy very seriously…”, ומצד שני, היא לא נוקטת שום צעד מיידי שיגן על המשתמשים. כמה צעדים שאפשר לחשוב עליהם כצעדים אחראיים מצידה יהיו להוריד את האפליקציה מהמרקטפלייס עד לתיקון הבעיה.
בסקייפ יכולים גם לבחור לנטרל את האפליקציה עבור המשתמשים או לחילופין לדחוף לכל המשתמשים הודעה בפעם הבאה שהם מפעילים אותה ומתחברים לשרתי החברה, הודעה שתכיל את המידע שלהם שבסכנה, ועוד. כך יוכלו המשתמשים להחליט אם להשאיר את האפליקציה החשופה על המכשיר, או לבחור להסיר אותה. על סקייפ להבין שגם אפליקציות קיימות שמגיעות מחברות גדולות אחרות יכולות לדחוף עדכונים לאפליקציות שלהם במטרה לחלוב את המידע של המשתמשים בתוך התיקיות של אפליקציית סקייפ, כל עוד זה אפשרי (הרי מידע מסחרי שווה כסף). על כן, לא מספיק שמשתמשים ישקלו אלו אפליקציות להתקין מהיום והאלה, אלא יש צורך לקחת בחשבון גם את אלו שכבר מותקנות על המכשיר.
מסקנה
חברות גדולות שכותבות שהן לוקחות את העניינים ברצינות, צריכות לגבות את זה במעשים. אחרת, קשה למשתמשים לקחת אותן ברצינות. הדבר נכון שבעתיים לגבי חברות שמקבלות את המידע האישי שלנו, ואמורות להשתמש בו ולהגן עליו.
זה נשמע מוזר שהחולשה הזו קיימת מאז שיצאה האפליקציה, ובמשך כחצי שנה חשופים הפרטים של 10 מיליון משתמשים, ובסקייפ לא שמו לב, ואחר כך הגיבו בצורה לקונית. אף אחד לא מצפה מחברה כזו שהאפליקציה תהיה מושלמת ובלתי-נתנת לחדירה או לפריצה, כי כנראה שאין דבר שהוא בלתי-ניתן לפריצה, אבל גם לסבלנות של המשתמשים יש גבולות, ועדיף היה אם בסקייפ היו משחררים תגובה המכילה את פרטי המידע שבסכנה (כדי להזהיר את המשתמשים), שתאפשר להם להחליט כיצד הם מעדיפים לנהוג עם המידע שלהם.
בפועל, ייתכן ואחת הדרכים המיידיות באמצעותן תוכלו להגן על עצמכם היא פשוט למחוק את האפליקציה מהמכשיר. אם אין את האפליקציה, אין את הקבצים המכילים את המידע האישי שלכם חשופים לכל אפליקציה ולכל דורש (אלא אם מישהו מכם יגלה שהיא משאירה לאחר הסרתה קבצים חשופים, ואז בהחלט אשמח אם תשתפו בתגובות). מעבר לזה, עד שתמצא דרך להגן על הקבצים של האפליקציה של סקייפ, מי שיש לו את האפליקציה מותקנת על המכשיר, עשוי להיות חשוף מבחינת המידע האישי שבפרופיל הסקייפ שלו.
פורסם במקור באתר Newsgeek.co.il
בלי להתייחס כמובן לרשלנות הפושעת לדעתי,מצידה של סקייפ.אני מנסה לחשוב,איזה מידע יש לי בפרופיל שלי בסקייפ שהייתי מעוניין להסתיר?!