פרצות אבטחת המידע שמחכות לספורטאים הישראליים באולימפיאדת החורף

מחקר חשף חולשות אבטחת מידע באפליקציה הרשמית של האולימפיאדה, שמאפשרות יירוט וגניבה של מידע ופרטים רפואיים מהאתלטים. בתגובה, העביר מערך הסייבר הישראלי לוועד האולימפי המלצות לשימוש בטוח על ידי האתלטים הישראליים

מקור: הוועד האולימפי הבינלאומי, IOC

בעוד כשבועיים יחלו בבייג'ינג משחקי החורף האולימפיים, או בשמם המוכר יותר "אולימפיאדת החורף" ה-8. המשחקים מעוררים התרגשות רבה במדינות רבות בעולם, וישתתפו בהם כ-2,900 ספורטאים, בהם גם משלחת צנועה מישראל, שתמנה שישה אתלטים, שיתחרו ב-3 מקצועות שונים. אבל עכשיו מעיב איום אבטחת מידע חדש על הטקס החגיגי, וגם הספורטאים הישראליים צפויים להיות מושפעים ממנו.

מידע מוצפן אבל חשוף ומידע שכלל לא הוצפן

מחקר חדש של מכון סיטיזן לאב, שחשף בעבר כמה מקרים של שימוש בפגסוס של NSO הישראלית, חשף כי משלחות הספורטאים והעיתונאים יחוייבו להשתמש באפליקציית MY2022, האפליקציה הרשמית, שמלאה בפרצות אבטחה. בין הנפגעים הפוטנציאליים – חברי המשלחת הישראלית במשחקים האולימפיים. האפליקציה נועדה להיות מעין "אפליקציית רמזור" למשחקים וכוללת גם אפשרויות לתקשורת בין המשתתפים.

האפליקציה דורשת מהמשתתפים במשחקים להזין בה מידע על מצבם הרפואי – בתואנה של המגיפה העולמית. בין היתר נדרשים הספורטאים להזין צילומי דרכון, אישור על קבלת חיסונים, תוצאות בדיקות קורונה, פרטים אישיים, היסטוריית תנועה ולאפשר לצורך כך גישה לקבצים ולמצלמה של המשתתפים.

האפליקציה, כך עולה מהעמוד שלה בחנות האפליקציות של אפל, פותחה על ידי חברה בשם Beijing Financial Holding Group, חברה הנמצאת בבעלות המשטר הסיני והמפלגה הקומוניסטית. במדיניות הפרטיות שלה מודה החברה כי היא אוספת מידע על המשתמשים – בין השאר המידע הרפואי שמשתמשים מזינים לטובת ניטור מצבם הבריאותי על רקע המגיפה, אך גם פרטים פחות רלוונטיים לכך – כמו תאריכי הנפקת ופקיעת תוקף הדרכון של משתמשים, וכל הפרטים האישיים שהם הזינו לאפליקציה. באופן מאוד מוזר, למרות שחנות האפליקציות של אפל הכוללת בצורה מאוד שקופה איזה מידע אוספת האפליקציה על המשתמשים – במקרה של אפליקציה זו מסומן כי היא לא אוספת שום מידע, בניגוד למה שהמפתחים עצמם כותבים.

מתוך עמוד האפליקציה של MY2022 באפסטור

הבעיה האמיתית מתחילה באבטחה של כל המידע הזה. מהחקירה של סיטיזן לאב עולה כי האפליקציה כוללת שתי חולשות משמעותיות. הראשונה היא העובדה שאפליקציית MY2022 לא מבצעת ולידציה לתעודות SSL – מה שאומר שכל המידע של המשתמשים שנשלח לשרתי האפליקציה אמנם עובר הצפנה, אך בפועל אין דרך לדעת כי אכן הגיע ליעד שלו. היעדר הולידציה לתעודות ה-SSL על ידי המפתחים פותח פתח להאקרים לבצע מתקפת Spoofing שבה יתחזו לשרתים – כשלפי החקירה של סיטיזן לאב ישנם 5 שרתים החשופים למתקפה זו – ובכך לקבל את המידע של המשתמשים שאמור להישלח לשרתי האפליקציה.

החולשה השנייה נובעת מהיעדר הצפנה מספקת של חלק מהמידע שעובר מהאפליקציה לשרתי החברה. על פי החוקרים של סיטיזן לאב, למרות שרוב המידע מועבר לאחר הצפנה כתעודת SSL, יש עדיין מידע – בעיקר מידע הקשור לשליחת הודעות דרך האפליקציה – שעובר ללא הצפנה כלל. ובכך חושף את המשתמשים הרבים שיהיו לאפליקציה הזו.

פיצ'ר: מילון מילים אסורות

במסגרת החקירה, מצאו אנשי סיטיזן לאב גם מילון של מילים אסורות, שהאפליקציה תצנזר בעת שיחות וצ'טים של משתמשים באפליקציה. המילון, שנמצא בקובץ עם השם הכי לא מרומז בעולם – illegalwords.txt – כלל ביטויים כמו "היהודים הם חזירים", ו"כל הסינים כלבים", לצד ביטויים "נפיצים" כמו התייחסויות לתנועת הפאלון גונג ותנועת המרד בכיכר טיין-אן-מן. בנוסף המילון כולל ביטויים בטיבטית ובאויגורית – השפה של המיעוט המוסלמי ממדינת המחוז שינג'יאנג, שעל פי דיווחים נמצא במעקב מתמיד ע"י הממשל הסיני. בשלב הזה, נראה כי המילון לא נמצא בשימוש פעיל עדיין, אך החוקרים מציינים כי ייתכן שהוא ישמש גם לצנזור של תכנים במצב שבו צד אחד בשיחה ירצה לדווח על דברים שכתב הצד השני.

אל תפספסו אף ידיעה או כתבה אל תפספסו אף ידיעה או כתבה הרשמו עכשיו לערוץ הרשמי של גיקטיים

המפתחים "טיפלו" בבעיה

על פי הדוח שפרסמו, חוקרי סיטיזן לאב ביצעו הליך אסגרה על פי הנהלים הסטנדרטיים שלהם – שבמסגרתם על המפתחים להגיב תוך 15 ימים לאסגרה ולטפל בליקויים תוך 45 ימים. עם זאת, עם פרסום הדוח המפתחים כלל לא הגיבו לפניות מכון המחקר הקנדי, וכמובן שלא טיפלו בליקויים. יממה לאחר פרסום הממצאים, קבל עם ואינטרנט, המפתחים דחפו גרסה חדשה לאפליקציה – לכאורה עם שינוי. הבעיה: היא עדיין כוללת את החולשות שמצאו החוקרים, וספציפית את היעדר הולידיציה לתעודות SSL – שעדיין משאיר מידע רב חשוף.

מערך הסייבר העביר לוועד האולימפי הישראלי המלצות לשימוש בטוח

מהועד האולימפי הישראלי נמסר לנו כי לפחות 20 אתלטים וחברי נבחרת שצפויים לטוס יצטרכו לעשות שימוש באפליקציית MY2022 בזמן שהותם בסין, מה שאומר שהם יהיו חשופים לכל החולשות שמצאו חוקרי סיטיזן לאב. ממערך הסייבר הלאומי נמסרה לנו התגובה הבאה: "לאחר בחינת הנושא, ובהתאם להמלצות שניתנו על ידי מדינות נוספות, העברנו לוועד האולימפי הישראלי המלצות לשימוש בטוח ככל הניתן, ובהינתן שהאפליקציה מחויבת עבור כניסה למדינה". במערך לא פירטו מהן בדיוק ההמלצות הללו. מהוועד האולימפי, הגוף שאחראי על האתלטים הישראלים במשחקים האולימפיים בבייג'ינג 2022, נמסר לנו כי הם "מונחים על ידי הקב"ט של משרד התרבות והספורט ופועלים בהתאם". אגב, הועדים האולימפיים של ארצות הברית, גרמניה והולנד הזהירו את האתלטים שלהם לא להביא לסין טלפונים, לפטופים או טאבלטים אישיים.

בועד האולימפי הבינלאומי הפחיתו בחומרת הבעיות וטענו כי אין סכנה של ממש והמשתמשים שולטים במידע ובהרשאות בכל רגע. עוד טענו בועד האולימפי כי גם משתמשים סיניים משתמשים באפליקציה – ולכן היא בטוחה, ובכל מקרה, יכולים האתלטים לעשות שימוש גם בגרסת ווב.

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: [email protected]geektime.co.il

הגב

רוצה להיות הראשון להגיב?

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: