סקייפ לאנדרויד חושפת מידע

אפליקציית סקייפ לאנדרואיד חושפת את המידע האישי שלכם, כולל שם המשתמש והסיסמא. התקלה במקורה בסקייפ, והם עובדים על פתרון.

שוב אנחנו שומעים על אפליקציה סלולרית שחושפת את המידע האישי שלנו. הפעם זו סקייפ. חברת ה-VOIP הגדולה, ששחררה את האפליקציה שלה לאנדרויד באיחור ניכר, שחררה אותה עם כמה חולשות קריטיות, אשר מאפשרות לאפליקציות אחרות לקבל מידע לגביכם, כולל את שם המשתמש והסיסמא.

ה-Vulnerability

ה-vulnerability שהתגלתה, כאמור, היא כזו שמאפשרת לאפליקציות אחרות שיש לכם על הסלולרי לגשת למידע של אפליקציית סקייפ. הבעיה עם ההתנהלות של האפליקציה של סקייפ היא בשתי רמות. ברמה הראשונה, הוגדרו הרשאות לא מתאימות לגבי הקבצים של האפליקציה, כולל הקבצים הרגישים, וכך נוצר מצב בו כל אחד, כולל כל אפליקציה שיש לכם או שתורידו מהרשת/מרקטפלייס, יכולים לגשת אל הקבצים הללו ולבדוק מה יש בהם.

הרמה השנייה חשובה לא פחות, שכן מסתבר שבסקייפ החליטו שזה מספיק לאחסן את שם המשתמש והסיסמא שלנו בצורה לא מוצפנת על גבי הסלולרי. כך יוצא שאם מישהו משיג הרשאות לגשת אל התיקיות של סקייפ ואל התוכן שלהם, הוא יוכל לראות את הקבצים הלא מוצפנים ואת המידע האישי שנמצא בהם.

את ה-vulnerability גילה ג’סטין קייס (Justin Case), שכותב בבלוג לענייני אנדרויד. כמובן שלפני הפרסום הוא פנה לסקייפ והודיע להם שהוא רוצה לפרסם את זה, וביקש גם את תגובתם הרשמית. מבחינת ההתנהגות שלו, חשוב להדגיש שבדומה לחשיפת חולשות בתוכנות נפוצות אחרות, יש חשיבות רבה לעדכן את החברה בטרם פרסום דברים שכאלה, על מנת לתת לה אפשרות להיערך בהתאם ואולי גם לסגור את הפירצה שנתגלתה טרם תתפרסם ברבים.

וידאו: פירצת האבטחה של סקייפ באנדרואיד

תגובת סקייפ

את תגובת החברה המלאה תוכלו לקרוא בפוסט שלהם בבלוג האבטחה של סקייפ. התגובה, בקצרה, היא שסקייפ מודעת לבעיה וההמלצה שלהם למשתמשים כיצד להתגונן מפני פירצת האבטחה (ראו פסקה אחרונה בהמלצה שהם פרסמו) היא להיזהר עם האפליקציות שהם מורידים אל המכשיר (במקור: “…we advise users to take care in selecting which applications to download and install onto their device”).

יש עם התגובה הזו כמה בעיות. לפני הכל, התגובה לא מספקת למשתמשים מידע מפורט על המידע שלהם שעשוי להיות חשוף. בתגובה הם מפרטים כי חלק מהמידע הוא “cached profile information”, אבל, היות ומאחורי ביטוי זה מסתתרת כמות רבה של מידע פוטנציאלי, יש מקום לציין אותו בפירוט. למשל, חשוב היה לעדכן את המשתמשים שעשויה להחשף הסיסמא שלהם בסקייפ, הכתובת שלהם וכל המידע האישי שהם הזינו לפרופיל שלהם. יש צורך לציין מידע זה בפירוט, שכן זה לא ברור בהכרח לכל 10 מיליון משתמשי האפליקציה לאנדרויד שלמידע זה התכוונה החברה.

מעבר לכך, התגובה של סקייפ מקוממת, שלא לדבר על סותרת את עצמה. מצד אחד, החברה כותבת “…We take your privacy very seriously…”, ומצד שני, היא לא נוקטת שום צעד מיידי שיגן על המשתמשים. כמה צעדים שאפשר לחשוב עליהם כצעדים אחראיים מצידה יהיו להוריד את האפליקציה מהמרקטפלייס עד לתיקון הבעיה.

בסקייפ יכולים גם לבחור לנטרל את האפליקציה עבור המשתמשים או לחילופין לדחוף לכל המשתמשים הודעה בפעם הבאה שהם מפעילים אותה ומתחברים לשרתי החברה, הודעה שתכיל את המידע שלהם שבסכנה, ועוד. כך יוכלו המשתמשים להחליט אם להשאיר את האפליקציה החשופה על המכשיר, או לבחור להסיר אותה. על סקייפ להבין שגם אפליקציות קיימות שמגיעות מחברות גדולות אחרות יכולות לדחוף עדכונים לאפליקציות שלהם במטרה לחלוב את המידע של המשתמשים בתוך התיקיות של אפליקציית סקייפ, כל עוד זה אפשרי (הרי מידע מסחרי שווה כסף). על כן, לא מספיק שמשתמשים ישקלו אלו אפליקציות להתקין מהיום והאלה, אלא יש צורך לקחת בחשבון גם את אלו שכבר מותקנות על המכשיר.

מסקנה

חברות גדולות שכותבות שהן לוקחות את העניינים ברצינות, צריכות לגבות את זה במעשים. אחרת, קשה למשתמשים לקחת אותן ברצינות. הדבר נכון שבעתיים לגבי חברות שמקבלות את המידע האישי שלנו, ואמורות להשתמש בו ולהגן עליו.

זה נשמע מוזר שהחולשה הזו קיימת מאז שיצאה האפליקציה, ובמשך כחצי שנה חשופים הפרטים של 10 מיליון משתמשים, ובסקייפ לא שמו לב, ואחר כך הגיבו בצורה לקונית. אף אחד לא מצפה מחברה כזו שהאפליקציה תהיה מושלמת ובלתי-נתנת לחדירה או לפריצה, כי כנראה שאין דבר שהוא בלתי-ניתן לפריצה, אבל גם לסבלנות של המשתמשים יש גבולות, ועדיף היה אם בסקייפ היו משחררים תגובה המכילה  את פרטי המידע שבסכנה (כדי להזהיר את המשתמשים), שתאפשר להם להחליט כיצד הם מעדיפים לנהוג עם המידע שלהם.

בפועל, ייתכן ואחת הדרכים המיידיות באמצעותן תוכלו להגן על עצמכם היא פשוט למחוק את האפליקציה מהמכשיר. אם אין את האפליקציה, אין את הקבצים המכילים את המידע האישי שלכם חשופים לכל אפליקציה ולכל דורש (אלא אם מישהו מכם יגלה שהיא משאירה לאחר הסרתה קבצים חשופים, ואז בהחלט אשמח אם תשתפו בתגובות). מעבר לזה, עד שתמצא דרך להגן על הקבצים של האפליקציה של סקייפ, מי שיש לו את האפליקציה מותקנת על המכשיר, עשוי להיות חשוף מבחינת המידע האישי שבפרופיל הסקייפ שלו.

Avatar

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

1 תגובה על "סקייפ לאנדרויד חושפת מידע"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מיקי
Guest

אני אכן אשקול ברצינות אילו תוכנות אני מתקין על מכשיר האנדרואיד שלי.
סקייפ היא הראשונה לעוף מכיוון ויש בה בעיית אבטחה משמעותית.

Not the very best choice of word, Skype, PR wise anyways.

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל