בגלל פרצת אבטחה: גוגל הסירה מהחנות אפליקציה ישראלית עם מיליוני משתמשים

חוקר ישראלי גילה פרצת אבטחה באפליקציית החייגן הפופולרית Drupe, שאפשרה הורדה של פרטים ותמונות של חלק ממשתמשי האפליקציה; מפתחי Drupe: הפרצה תוקנה, אבטחת נתוני המשתמשים שלנו היא העדיפות העליונה

צילום מסך

שלשום (ג’) הסירה גוגל מחנות האפליקציות שלה את אפליקציית Drupe (דרופ), אחת מהאפליקציות הישראליות המצליחות ביותר. על פי החשד, התגלתה באפליקציה הישראלית פרצת אבטחה שאפשרה לדלות מידע על חלק מהמשתמשים הרבים שלה.

כל אחד יכול להוריד נתונים אישיים ותמונות מהענן של החברה

אפליקציית Drupe, שעליה כתבנו כבר לא מעט פעמים, היא חייגן מעוצב ואינטואיטיבי, שמאפשר למשתמש פשוט לגרור את תמונת איש הקשר שאיתו הוא רוצה לתקשר אל האפליקציה המתאימה לו. עם הזמן מנבאת האפליקציה עם מי תהיו מעוניינים לתקשר ויוצרת רשימה הנבנית ומתעדכנת באופן דינמי.

לפני מספר ימים גילה סימון מרגריטלי, חוקר אבטחה ובכיר בחברת הסייבר הישראלית Zimperium, ש-Drupe מאחסנת את פרטי הקשר והתמונות של חלק מהמשתמשים שלה בצורה לא מאובטחת על גבי הענן שלה (A3 של אמזון). מרגריטלי צייץ את הגילוי מבלי לנקוב בשם החברה, כדי שהיא תוכל בינתיים לתקן את הפרצה, אך אחד הקוראים הצליח לפצח את השם הנכון ודיווח על כך לגוגל. השבוע כאמור הוסרה האפליקציה.

כתב של אתר Motherboard בדק ואימת את קיומה של הפרצה, ואף הצליח להגיע להודעות קוליות ששלחו משתמשים באפליקציה. על פי מרגריטלי, בשיטה די פשוטה ניתן היה לנחש את זהות המשתמשים השונים ואז להגיע לכל המידע שלהם ששמור במערכת, כולל יומני שיחות, הודעות sms, הודעות מולטימדיה ועוד. על פי החוקר הישראלי, “הכמות של המידע שנשאר זמין ברשת היא מטורפת”, ועלולה להגיע למיליארדי הודעות וידאו והודעות קוליות.

הודעת השגיאה בגוגל פליי בזמן שהאפליקציה הוסרה. צילום מסך

מהחברה נמסר שהפרצה השפיעה רק על משתמשים שעשו שימוש בפיצ’ר ה”ווקי-טוקי” של האפליקציה, ועל פי ההערכות של החברה מדובר פחות מ-3 אחוזים מהמשתמשים. “ברגע שהובא לידיעתנו דבר הפרצה, חסמנו מיד את כל הגישה לכל התמונות שהיו מאוחסנות על השרתים שלנו”, נכתב בהודעה, “אנחנו מתנצלים על אי הנוחות שנבעה מהצעד הזה”. על פי החברה, בתוך כשעה מרגע גילוי הפרצה התגלה הבאג וטופל.

דובר של גוגל מסר כי “החברה נמצאת בקשר עם המפתחים בנוגע לדרך שבה היא שומרת על המידע של המשתמשים שלה”. בעבר, אגב, בחרה גוגל ב-Drupe לאחת מהאפליקציות הנבחרות שלה במסגרת יוזמת Android Excellence.

עדכון 9:17

מסתמן שבדקות האחרונות החזירה גוגל את האפליקציה לחנות.

יניב אביטל

עורך אתר גיקטיים, ובזמנו החופשי גיק, קופירייטר, אבא, חולה על גאדג'טים וקוד, לא בהכרח בסדר הזה

הגב

11 תגובות על "בגלל פרצת אבטחה: גוגל הסירה מהחנות אפליקציה ישראלית עם מיליוני משתמשים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Someone
Guest

לא יודע מה זה A3.. כנראה שאתם מתכוונים ל S3

Tommy
Guest

אאודי

האקר אמיתי
Guest

אני מקווה שסימון מרגריטלי הזחוח מרוצה
אני אחתום לו בעצמי “גבר גבר” על הדרכון
ממש האקר גאון, אבל לעצור לרגע לחשוב שיש חברה ישראלית עם אנשים שצריכה לשלם משכורות וכמה זה פוגע בהם, זה בטוח לא מעניין אותו. אפס

מה הייתה הבעיה ליצור איתם קשר ולפרסם את זה בטוויטר שלו אחרי התיקון?
לא הייתה בעיה היה פשוט ריקבון פנימי וצורך להרגיש גבר.

עשה להם שיימינג
Guest
עשה להם שיימינג

הבעיה היא שחברות מפקירות את הפרטיות של ה”משתמשים שלהם”
כתבתי בכוונה “משתמשים שלהם” במרכאות כי האמת היא ש”משתמשים בהם” הוא ביטוי יותר מתאים לכל החברות שעושקות בתחום הטלקום תוך זלול מוחלט בפרטיות המשתמש, אי אפשר לטעון שאין להם את המשאבים לדאוג קצת יותר לצד הזה
better get their sheet together

רפי
Guest

בשביל זה המציאו את ה responsive disclosure. היה צריך ליצור עימם קשר לתאם תיקון ופירסום משותף אחר כך

האקר קאקר
Guest

אתה דפוק אמיתי, זה מה שמעניין אותך? זה שיש פרצת אבטחה שעלולה לגרום שכל ההודעות שאתה שולח ידלפו לרשת, זה לא מעניין אותך?

האקר אמיתי
Guest

רואים שאתה לא מהתעשיה ועם אפס ניסיון חיים. אז בבקשה אל תדחף למקומות שאתה לא קשור אליהם. הדעה שלך לא באמת מעניינת. ותודה מראש

האקר אמיתי
Guest
ואתה יודע מה, אגיב עניינית – מאוד מעניין אותי!!! זו בדיוק הסיבה שיש לתקן את הבאג לפני הפרסום. ריקבון פנימי כבר אמרתי? סימון היה כנראה ילד כאפות בבית ספר ועכשיו הוא מנסה להרגיש גבר. כבר פגשתי אנשים כמותו. והוא גם לא כזה טוב במה שהוא עושה, מחקירה קצרה שערכתי לגביו. אפס אחריות. לא הייתי רוצה לעבוד או להעסיק אנשים ברמת ערכים ירודה כמו שהפגין. ויותר מזה, ישראלים צריכים להבין שלא תוקפים מטרות מבית. התעשיה הישראלית כמכלול יותר חשובה מאוד וחברה ישראלית אחת שנתפסת עם מכנסיים למטה עשויה להשפיע על השם הטוב של חברה ישראלית שונה לחלוטין. סימון הזה פגע בכולנו.… Read more »
יום טוב
Guest
טוב הבנתי- הבעיה שלך שהוא ישראלי וכנראה מ”החמוצים”( לפי הטוויטר שלו )- סבבה, אני מבין אותך אני גם מתאר שאם הוא לא היה ישראלי לא היה לך אכפת בכלל ממנו אבל בלי קשר מה שניסיתי להגיד בסה”כ זה שהטרנד הכללי של חברות שאוספות מידע רגיש על הלקוחות שלהם וללא קשר למיקומם לזלזל בכל נושא אבטחת המידע צריך להפסק אני אישית לא חושב שהוא פגע בחברה ושיפטרו אנשים בעקבות זה, כל יום שומעים על 100 מחדלי אבטחה- לאף אחד כבר לא אכפת סתם דוגמה קטנה: כל החשבונות של yahoo נפרצו- למישהו אכפת? רב האנשים הרגילים אפילו לא יודעים על זה ואפילו… Read more »
יום טוב
Guest

מה שאני מסכים לחלוטין- זה שהוא עצמו סיכן באופן אקטיבי מיליוני משתמשים תמימים כשפרסם את הפירצה לפני שתיקנו אותה
על זה אין מחילה…

יהושפט שונא האייפונים
Guest
יהושפט שונא האייפונים

אפליקציה דפוקה לא הבנתי איך הם מצליחים פשוט אין משמעות לאפליקציה הלא שימושית הזו

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל