בגלל פרצת אבטחה: גוגל הסירה מהחנות אפליקציה ישראלית עם מיליוני משתמשים
חוקר ישראלי גילה פרצת אבטחה באפליקציית החייגן הפופולרית Drupe, שאפשרה הורדה של פרטים ותמונות של חלק ממשתמשי האפליקציה; מפתחי Drupe: הפרצה תוקנה, אבטחת נתוני המשתמשים שלנו היא העדיפות העליונה
צילום מסך
שלשום (ג’) הסירה גוגל מחנות האפליקציות שלה את אפליקציית Drupe (דרופ), אחת מהאפליקציות הישראליות המצליחות ביותר. על פי החשד, התגלתה באפליקציה הישראלית פרצת אבטחה שאפשרה לדלות מידע על חלק מהמשתמשים הרבים שלה.
כל אחד יכול להוריד נתונים אישיים ותמונות מהענן של החברה
אפליקציית Drupe, שעליה כתבנו כבר לא מעט פעמים, היא חייגן מעוצב ואינטואיטיבי, שמאפשר למשתמש פשוט לגרור את תמונת איש הקשר שאיתו הוא רוצה לתקשר אל האפליקציה המתאימה לו. עם הזמן מנבאת האפליקציה עם מי תהיו מעוניינים לתקשר ויוצרת רשימה הנבנית ומתעדכנת באופן דינמי.
לפני מספר ימים גילה סימון מרגריטלי, חוקר אבטחה ובכיר בחברת הסייבר הישראלית Zimperium, ש-Drupe מאחסנת את פרטי הקשר והתמונות של חלק מהמשתמשים שלה בצורה לא מאובטחת על גבי הענן שלה (A3 של אמזון). מרגריטלי צייץ את הגילוי מבלי לנקוב בשם החברה, כדי שהיא תוכל בינתיים לתקן את הפרצה, אך אחד הקוראים הצליח לפצח את השם הנכון ודיווח על כך לגוגל. השבוע כאמור הוסרה האפליקציה.
כתב של אתר Motherboard בדק ואימת את קיומה של הפרצה, ואף הצליח להגיע להודעות קוליות ששלחו משתמשים באפליקציה. על פי מרגריטלי, בשיטה די פשוטה ניתן היה לנחש את זהות המשתמשים השונים ואז להגיע לכל המידע שלהם ששמור במערכת, כולל יומני שיחות, הודעות sms, הודעות מולטימדיה ועוד. על פי החוקר הישראלי, “הכמות של המידע שנשאר זמין ברשת היא מטורפת”, ועלולה להגיע למיליארדי הודעות וידאו והודעות קוליות.
הודעת השגיאה בגוגל פליי בזמן שהאפליקציה הוסרה. צילום מסך
מהחברה נמסר שהפרצה השפיעה רק על משתמשים שעשו שימוש בפיצ’ר ה”ווקי-טוקי” של האפליקציה, ועל פי ההערכות של החברה מדובר פחות מ-3 אחוזים מהמשתמשים. “ברגע שהובא לידיעתנו דבר הפרצה, חסמנו מיד את כל הגישה לכל התמונות שהיו מאוחסנות על השרתים שלנו”, נכתב בהודעה, “אנחנו מתנצלים על אי הנוחות שנבעה מהצעד הזה”. על פי החברה, בתוך כשעה מרגע גילוי הפרצה התגלה הבאג וטופל.
דובר של גוגל מסר כי “החברה נמצאת בקשר עם המפתחים בנוגע לדרך שבה היא שומרת על המידע של המשתמשים שלה”. בעבר, אגב, בחרה גוגל ב-Drupe לאחת מהאפליקציות הנבחרות שלה במסגרת יוזמת Android Excellence.
עדכון 9:17
מסתמן שבדקות האחרונות החזירה גוגל את האפליקציה לחנות.
יניב אביטל
עורך אתר גיקטיים. יש לכם רעיון לכתבה? טיפ סודי? הדלפה? מחכה לכם ב-yaneev@geektime.co.il
הגב
11 תגובות על "בגלל פרצת אבטחה: גוגל הסירה מהחנות אפליקציה ישראלית עם מיליוני משתמשים"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
לא יודע מה זה A3.. כנראה שאתם מתכוונים ל S3
אאודי
אני מקווה שסימון מרגריטלי הזחוח מרוצה
אני אחתום לו בעצמי “גבר גבר” על הדרכון
ממש האקר גאון, אבל לעצור לרגע לחשוב שיש חברה ישראלית עם אנשים שצריכה לשלם משכורות וכמה זה פוגע בהם, זה בטוח לא מעניין אותו. אפס
מה הייתה הבעיה ליצור איתם קשר ולפרסם את זה בטוויטר שלו אחרי התיקון?
לא הייתה בעיה היה פשוט ריקבון פנימי וצורך להרגיש גבר.
הבעיה היא שחברות מפקירות את הפרטיות של ה”משתמשים שלהם”
כתבתי בכוונה “משתמשים שלהם” במרכאות כי האמת היא ש”משתמשים בהם” הוא ביטוי יותר מתאים לכל החברות שעושקות בתחום הטלקום תוך זלול מוחלט בפרטיות המשתמש, אי אפשר לטעון שאין להם את המשאבים לדאוג קצת יותר לצד הזה
better get their sheet together
בשביל זה המציאו את ה responsive disclosure. היה צריך ליצור עימם קשר לתאם תיקון ופירסום משותף אחר כך
אתה דפוק אמיתי, זה מה שמעניין אותך? זה שיש פרצת אבטחה שעלולה לגרום שכל ההודעות שאתה שולח ידלפו לרשת, זה לא מעניין אותך?
רואים שאתה לא מהתעשיה ועם אפס ניסיון חיים. אז בבקשה אל תדחף למקומות שאתה לא קשור אליהם. הדעה שלך לא באמת מעניינת. ותודה מראש
מה שאני מסכים לחלוטין- זה שהוא עצמו סיכן באופן אקטיבי מיליוני משתמשים תמימים כשפרסם את הפירצה לפני שתיקנו אותה
על זה אין מחילה…
אפליקציה דפוקה לא הבנתי איך הם מצליחים פשוט אין משמעות לאפליקציה הלא שימושית הזו