פרצת אבטחה באפליקציות של מכוני כושר ישראליים עם יותר ממיליון הורדות

אחרי ששכח את הסיסמה לאפליקציית חדר הכושר שלו גילה חוקר אבטחה ישראלי דרך קלה מאוד להשתלט על חשבונות של משתמשים ולהשיג גישה למידע אישי שלהם

חדרי הכושר ספגו לא מעט פגיעות בזמן משבר הקורונה, והדבר האחרון שהם היו צריכים עכשיו זו פרצת אבטחה באפליקציות שמשמשות את המנויים שלהם. אבל למרבה המזל, גילה אותה חוקר כובע לבן, לפני שתוקפים פחות נחמדים הניחו עליה את המקלדות שלהם.

שכח סיסמה, גילה פירצה

חוקר האבטחה סהר אביטן גילה פרצת אבטחה באפליקציות של עשרות מכוני כושר ומתנ”סים גדולים בישראל. המשותף לכל האפליקציות, שהורדו במצטבר יותר ממיליון פעמים, הוא שהן פותחו על ידי חברת Fizikal הישראלית. על פי נתוני Google Play, אחראית החברה על האפליקציות של מכוני כושר ופעילות גופנית כמו EZ Shape, גרייט שייפ, Space, זאוס, אייקון, קאנטרי גבעתיים, בריכת גורדון, דליה מנטבר – פילאטיס, הגראז’, אגף הספורט של עיריית רעננה, מועדון הכושר של עובדי התעשייה האווירית, מועדון הספורט כפר המכביה, WixFit של Wix ועוד.

החוקר גילה את הפרצה ממש במקרה, כאשר שכח את הסיסמה לאפליקציית הכושר שלו, וביקש להחליף אותה. כשהזין את מספר הנייד שלו הוא גילה שהמערכת, של האפליקציה שולחת ב-SMS סיסמה חד-פעמית (OTP) שמורכבת מארבע ספרות בלבד. לדברי אביטן, מדובר בסטנדרט בעייתי, והסטנדרט היום הוא משלוח סיסמה חד-פעמית שמורכבת מ-6 ספרות לפחות, זאת כדי להפחית את הסיכון לניחוש הסיסמה על ידי סקריפט.

בנוסף גילה החוקר כי בניגוד לנהוג, הוא הצליח לשלוח בקשת איפוס הסיסמה יותר משלוש פעמים ברצף – מה שלרוב גורם לחסימה של החשבון, אבל בפועל לא קרה באפליקציות של Fizikal. לאחר מכן ביצע אביטן תהליך של User Enumeration, כלומר, איתור שמות משתמשים על ידי בדיקה של מספרים והרצה של כל מספרי הטלפון האפשריים. לאחר מכן הוא שלח SMS עם ה-OTP למספר עם חשבון באפליקציה (המספר שלו כמובן, הוא לא פרץ לחשבון של מתאמנים תמימים), והריץ Brute Force כדי להגיע למספר הנכון – פעולה שלדבריו לקחה דקה אחת בדיוק. לאחר הזנת ה-OTP הנכון וקבלת ה-ID Token הוא יכל בקלות לשנות את הסיסמה ולהשתלט על החשבון מרחוק.

הורידו עכשיו את אפליקציית גיקטיים, ותישארו מעודכנים הורידו עכשיו את אפליקציית גיקטיים, ותישארו מעודכנים להורדת אפליקציית גיקטיים לאייפון ולאנדרואיד לחצו כאן

תוקף שהיה משיג כך גישה למערכת יכול היה לקבל גישה למספרי טלפון, שם פרטי ושם משפחה, תעודת זהות, כתובת מגורים, כתובת מייל ותאריך לידה של המתאמן. בנוסף, אחרי השתלטות כזו, יכול היה  התוקף לבטל את המינוי של המשתמש מרחוק בלחיצת כפתור. אביטן עדכן את מערך הסייבר הלאומי על הפרצה, וזה פנה לחברה המפתחת את האפליקציות, שסגרה את הפרצה באותו היום.

מ-Fizikal נמסר לגיקטיים בתגובה: “חברתנו קיבלה את ההתראה ממערך הסייבר הלאומי בגין החשש לחשיפה. חברת פיזיקל תיקנה את החשיפה בזמן קצר ונכון לרגע זה אין חשיפה או פגיעה. אנו מבקשים להודות למערך הסייבר ולאותו פלוני שהביא לידיעתנו את אותה חולשה. אנו נמשיך לפעול ולהעלות את רמת האבטחה והשמירה על הפרטיות עבור כלל לקוחותינו”.

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

10 תגובות על "פרצת אבטחה באפליקציות של מכוני כושר ישראליים עם יותר ממיליון הורדות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
פלוני
Guest

שמישהו יעדכן אותם שה-״פלוני״ הינו סהר אביטן

הפורץ הנוצץ
Guest

שמישהו יעדכן את סהר ש-brute force זו אולי הצורת פריצה הכי נמוכה, חלשה ו-script kiddie friendly שיש.
לא בקטע רע, אבל לך תעשה משהו עם עצמך.. ועדיף שהמשהו הזה לא יהיה brute force.

שם כלשהו
Guest

זה בדיוק הנקודה, שכוח גס עבד פה והוא לא היה צריך להשקיע מאמץ מיוחד, זאת צורת הפריצה הנפוצה ביותר ואם אתה לא מתגונן ממנה כנראה שגם שאר אבטחת המידע שלך רדודה באותה מידה.

מתן
Guest

למה אתה חושב שצורת הפריצה הבסיסית אמורה להפחית מכבודו של מפרסם החולשה? אתה מתעסק בתפל ומפספס את העיקר, העיקר הוא שיש אפליקציה פופולארית, ויש חולשה שבעזרתה ניתן להתחבר לכל משתמש.
מעבר לזה, צורות הפריצה הבסיסיות ביותר הן הנפוצות ביותר, ואני מקווה שפרסומים כאלו ילמדו מפתחים לא ליפול על שטויות. קשה לי להאמין שלפיזיקל אין עוד חולשות מטופשות כאלו.

משתמש אובונטו
Guest

לא מדובר על brute force של ניחוש סיסמאות.

מדובר על הרצה של קודים בני 4 ספרות (כולה 9999 אפשרויות. לא הרבה). והרצה של מספרי טלפון אפשריים שגם זה לא מדע טילים. עובדה שהוא הצליח תוך כמה דקות של הרצה.

ורוב הפרצות הם מטופשות. אולי אתה האקר תותח מהסדרה “טהרן” אבל רוב הפרצות הן מהסוג הזה. וזה לא מספיק לscript kiddie כי זו לא פרצה גנרית ידועה באיזה מוצר, אלא סקריפט שהוא כתב ספציפית למוצר הזה. סה”כ יפה.

הייתי עובר מאובונט
Guest
הייתי עובר מאובונט

10000

קוקיז
Guest

להתחשב בזה שילד צומי מצא חולשה מעפנה מעניין מה חוקר אבטחה רציני ימצא

בוט
Guest
מה? יש פריצת אבטחה באפליקציית פח ישראלית?!?! לא יכול להיות!! מצאתי פרצות כמעט בכל אפליקציה ישראלית שבדקתי עד כה ובלי יוצר מדי מאמץ. איכות פיתוח אפליקציות ישראליות הן מהנמוכות בעולם, משתווה בערך להודו וטורקיה. יש כל כך הרבה סיבות למה זה קורה. מהנפוצות ביותר: חיסכון באנשי QA, אבטחה ומתכנתים. כבר פגשתי מתכנתים שעובדים במשרות כאלה שמרוויחים באיזור ה-6000 לחודש. אלו מסוג המתכנתים שאין שום סיכוי שיתקבלו לחברות בינלאומיות, כי הם באמת רמה כל כך נמוכה שזה אבסורד שהם בכלל מתכנתים. מבחינת מודעות של אבטחה אצל ההנהלה של אותם חברות היא בערך שואפת לאפס. תחברו את כל זה ביחד והנה, יוצאת… Read more »
קרקר
Guest

מצאתי בעיה פעם מצאתי בעיה באפליקציה אחרת בתחום.
לא מיהרתי לפרסם באינטרנט + לקרוא לעצמי חוקר סייבר עוצמתי, כי אני לא פרילנס/מובטל וסה”כ מרוצה מהקריירה שלי.
שלחתי בשקט בשקט הודעה למפתחים.
ענה לי ילד עילג עם שגיאות כתיב, לא דיסלקציה, אלא הזנחה וטפשות.
זה נראה לי מוכר, כי היו שגיאות כתיב מאותו סוג בטקסטים באפליקציה.
מסקנה:
אפליקציה איטית, מסורבלת, ג’ונרטה במהירות ללא ידע מעמיק בתכנות מאחוריה.
אבל השיווק עבד, מנהלי עסקים קטנים בתחום לא מסוגלים לזהות איכות, והמשתמשים? האפליקציה פח נכפית עליהם.
וזה מה שחשוב בשורה התחתונה.
ימשיכו להיות בעיות כי אין תקן.

למלם
Guest

לא הבנתי, מה בדיוק שווה המידע שהוא מצא… אין מה לסחוט או לעשות עם המידע הזה.. הוא גם ככה נגיש (תעודת זהות, טלפון, מקום מגורים, וואו, שילך אליהם הביתה…)
יותר מענין אם הוא היה מצליח לשלוף כרטיסי אשראי..

wpDiscuz

תגיות לכתבה: