פרצת אבטחה באפליקציות הליכוד והעבודה

בעיות באפליקציות של המפלגות: פרצת אבטחה בליכוד, העבודה משתמשת באנשי הקשר.

אלירן אהרון , כ' באדר ב תשע"ט

האפליקציה של העבודה
האפליקציה של העבודה
צילום: צ'ק פוינט

מחקר חדש של חברת אבטחת המידע הישראלית צ'ק פוינט, גילה ליקויי אבטחה חמורים באפליקציות הרשמיות של המפלגות, שחלקן גם משמשות לאיסוף מידע על המשתמשים.

מטרת הבדיקה הייתה לבדוק אילו שירותים המפלגות מציעות לציבור ובעיקר איזה מידע הן אוספות עלינו וכיצד הן נוהגות בו.

רק שלוש מפלגות מציעות אפליקציות לקהל הבוחרים: הליכוד, העבודה ומפלגת ישר. תוצאות הבדיקה מצביעות על פירצות אבטחה חמורות ושימוש במידע אישי ורגיש במיוחד.

אפליקציית הליכוד

ממצאי הבדיקה:

באופן פשוט יחסי ניתן לחלץ את רשימת כלל המתפקדים לליכוד ופרטיהם האישיים כולל כתובת מגורים, דואר אלקטרוני, מספרי טלפון, מצב משפחתי ונתונים דמוגרפיים נוספים.

שימוש בסיסמא קצרה ופשוטה המאפשר פריצה מהירה יחסית (דקות בודדות) לכל חשבון משתמש, בהינתן מספר הטלפון שלו.

העברת מידע אישי רגיש הכולל מספר תעודת זהות ופרטי כרטיס אשראי באופן לא מוצפן בניגוד לסטנדרטיים המקצועיים והנחיות האבטחה.

ממשק הניהול של האפליקציה, המשמש את המפעילה לנהל את מאגרי המידע, אמנם דורש הזדהות של שם משתמש וסיסמא, אך נמצא נגיש לאינטרנט וחשוף למתקפות סייבר.

לליכוד קיימת אפליקציה רשמית לסלולר הן בגרסת Android והן בגרסת iOS לטלפוני אייפון מזה כשנה, העדכון האחרון מספטמבר 2018. האפליקציה נועדה בעיקר לחיזוק הקשר של המשתמש עם המפלגה, תוך שהיא מספקת מידע אקטואלי על המפלגה ונציגיה, ופעילותם ברשתות החברתיות. באפליקציה קיימת גם אפשרות (ככל הנראה לא ממומשת) לביצוע סקרים.

הרישום לאפליקציה מתבצע על ידי הזנת מספר תעודת זהות וטלפון נייד. בשלב זה המשתמש מקבל מסרון (הודעת SMS) ובו מצויינת סיסמא באורך 4 ספרות התשמש אותו לכניסה לאפליקציה מעתה ואילך.

זו סיסמה קלה ופשוטה ובכך חושפת את המשתמשים לתקיפות מסוג Brute Force (תקיפה כוחנית). בתקיפה מסוג זה מזין התוקף את כל האפשרויות הקיימות לסיסמה ולכן יש חשיבות למורכבות ואורך הסיסמה. במקרה זה, לסיסמה קיימים רק 10,000 צירופים שונים, משימה שמחשב סטנדרטי פותר במספר דקות. לפיכך, אם ידוע לתוקף מספר הטלפון של חבר ליכוד כלשהו, בפשטות ניתן להתחבר במקומו לאפליקציה ולקבל את כל פרטיו האישיים ולפעול בתוכה בשמו.

בתיאום עם הליכוד ולשם המחשה בלבד נעשתה בדיקה על בכיר במנגנון התנועה שממנה עלה כי ניתן להגיע לפרטי כל מתפקד ליכוד בתוך דקות ספורות.

תהליך הזיהוי שדורשת האפליקציה מהווה בפועל רק וידוא כי מספר הטלפון הנייד שהוזן שייך למשתמש. לאחר הורדת האפליקציה ניתן להזין כל מספר זיהוי ולקבל את הפרטים המלאים של חבר התנועה. בעוד שבירור פרטים של חבר ליכוד בהינתן מספר טלפון דורש מידה מסוימת של מקצועיות (ניחוש סיסמא בת 4 ספרות), בהינתן מספר תעודת זהות של חבר מפלגה כל שנדרש הוא להזין אותו באפליקציה ולקבל אודותיו את כל הפרטים.

האפליקציה מאפשרת למעשה חיבור ישיר למאגר המידע של הליכוד, מאפשרת באמצעות מספר תעודת זהות לבדוק האם אדם הוא חבר ליכוד ועבור חברי הליכוד נותנת גישה מלאה לכל הפרטים של כל חברי המפלגה, שמות, טלפונים, כתובות אימייל, כתובות מגורים ותפקידיהם בליכוד.

האפליקציה מסתמכת על שני שרתים לצורך אחסנת המידע והפונקציות השונות שבה. התקשורת עם השרתים הללו מתבצעת בפרוטוקול http לא מאובטח כך שהפרטים הרגישים שמוזנים על ידי כל משתמש הכוללים מספרי תעודות זהות ופרטי כרטיס אשראי חשופים לעיני צדדים שלישיים.

גם הכניסה לעמוד likud.bosonet-ltd[.]biz ממנו מוצגת אפשרות כניסה לניהול האפליקציה מתבצעת בפרוטוקול לא מאובטח.

בפריימריז האחרונים של המפלגה שנערכו בפברואר השנה, היו חברים במפלגה למעלה מ-119 אלף חברים רשומים. הליקויים שנמצאו בבדיקה חושפים פרטים בעלי ערך כלכלי ואישי רגיש של ציבור גדול מאוד והופכים את המאגר ליעד אטרקטיבי לתקיפות מסוג שאנחנו עדים להן כל יום. מעבר לערך הנתונים האישיים ברור שגם לחשיפת מאגר של עשרות אלפי אנשים משויכים פוליטית יש משמעות וערך עבור מפלגות אחרות וגורמים נוספים.

נציין כי מפלגת הליכוד טיפלה בפרצת האבטחה במהירות והייתה קשובה לממצאים.

תגובת הליכוד לפרסום דו״ח חברת צ׳ק פוינט: ''קיבלנו את פניית צ׳ק פוינט, טיפלנו בפירצה מייד - מידע אישי לא דלף ושום נזק לא נגרם''.

אפליקציית מפלגת העבודה

ממצאים:

האפליקציה מחלצת את רשימת אנשי הקשר של המשתמשים ללא ידיעתם ומעלה אותה לשרת חיצוני.

נראה כי האפליקציה ממפה את הקשרים החברתיים של המשתמשים על בסיס ניתוח שמות אנשי הקשר, וזאת על מנת למפות את טיב הקשר בין המשתמש לבין אנשי הקשר שלו, ובכך לאתר ככל הנראה מצביעים פוטנציאלים. ניתוח זה נעשה ללא ידיעת המשתמש.

אפליקצית העבודה לבחירות 2019 פותחה על ידי בית התוכנה Runloop והיא זמינה ב Google Play ועבור מכשירי iOS (אייפון) החל מתחילת השנה. האפליקציה מאפשרת למשתמש, בנוסף לאפשרות להתעדכן בחדשות ובאירועים האחרונים, גם להשפיע.

החלק המרכזי של האפליקציה מאפשר למשתמש לסווג את אנשי הקשר שלו לקטגוריות לפי מידת התמיכה של איש הקשר במפלגת העבודה ומידת הפתיחות שלו לשינוי עמדה. האפליקציה מבטיחה כי כל זאת נעשה על מנת לאפשר למשתמש לשלוח הודעות טקסט מוכנות מראש למכריו. באופן כזה מאפשרת האפליקציה למשתמש ליצור קשר ישיר עם מכריו כדי לשכנעם לתמוך בעבודה.
האפליקציה מתחייבת כי הגישה לרשימת אנשי הקשר מתבצעת על מנת "לאפשר לך ליצור ולחזק קשרים עם אנשי הקשר שלך... תוכן השיחות לא ינוטר ו/או ישמר על ידי המפלגה".

אלא שמיד עם מתן הגישה לפרטי אנשי הקשר של המשתמש ולחיצה על כפתור ה"התחל להשפיע", נשלחים כל פרטי אנשי הקשר שנמצאים על מכשיר הטלפון למאגר המידע של המפלגה, כולל שמות, מספרי טלפון וכתובות אימייל.

בנוסף לכך, באפליקצייה קיימת פונקציונליות של סיווג מידת הקשר של המשתמש עם איש הקשר הרלוונטי, כנראה מתוך כוונה ליצור רשימה של אנשי קשר קרובים אליו במיוחד שתישמר במאגר הנתונים של המפלגה.

האפליקציה מאפשרת למפלגה לעבור על כל אנשי הקשר של המשתמש ולאתר את האנשים הקרובים אליהם על ידי חיפוש סיומות ותחיליות חיבה והקטנה המוצמדות לשם, ומילות קירבה ואהבה. כך למשל "אמא", "אבא", "סבתא" יסווגו כקשרים קרובים, כמו גם כל מי שמסתיים ב"צ'וק", "צ'יק", "ל'ה" אשר ישמרו במאגר המידע כבעל קשר קרוב במיוחד אל המשתמש.

כך האפליקציה מאפשרת למפלגה להשיג נגישות לרשימת אנשי הקשר של המשתמש וממפה את האנשים הקרובים אליו במיוחד. למרות סוגיית הפרטיות, כל המידע שמועבר לשרת, מועבר בצורה מוצפנת, כמצופה בטיפול מתעבורה עם מידע רגיש.


הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il