בדקתם? - ישנן אפליקציות מובייל המתחייבות לסחור במידע שיש להן עליכם
מאת:
דוריה גלעם, 3.9.19, 21:45
על רקע אירועי אבטחת המידע האחרונים באפליקציות כמו פייסבוק, FaceApp, Cam Scanner וכו', מצורפים טיפים כיצד ניתן להישמר מפני איומי אבטחת מידע באפליקציות המובייל. כיצד להתגונן מפני אפליקציות זדוניות?
בחנויות האפליקציות וברשת ישנן אינסוף אפליקציות במגוון תחומים כמו צילום, עריכה, בישול, חדשות, משחקים ועוד. על אף שנדמה, שמדובר בארץ האפשרויות הבלתי מוגבלות, כמו בכל דבר טוב, אנו בתור צרכנים מחויבים להישמר מהסכנות, שהארץ הזו טומנת בחובה.
לאחרונה היינו עדים למספר אפליקציות, שנגדן התעררו בכלי התקשורת תלונות, שהן מסכנות את המשתמשים בהן:
כנגד
FaceApp נטען, שהיא עשתה שימוש במאגר תמונות המשתמשים שלה.
אפליקציית
Cam Scanner נתפסה עם קוד זדוני.
נגד פייסבוק עלו תלונות, שהיא האזינה לשיחות האישיות של משתמשיה.
אפליקציות זדוניות צצות ברשת כמו פטריות אחרי הגשם ונקודת המוצא של כל צרכן המחזיק סמארטפון צריכה להיות מושתת על ההבנה, שכל מכשיר נתון לפריצה, בכל רגע נתון.
"סליחה, מה הסיסמא ל-
WiFi פה?" זה המשפט, לו אורב בבית הקפה הסמוך כל האקר מתחיל. הסיבה לכך היא משום שהדרך הקלה ביותר המאפשרת להאקר לפרוץ למכשיר הסמארטפון היא כאשר הוא מחובר לרשת
WiFi ציבורית. רשת מהסוג הזה קלה בד"כ לחדירה ולרוב אינה מוגנת ולכן האקרים רבים ינסו "לטייל" בין מתחבריה, ולהאזין לתעבורת הנתונים שלהם. הם ינסו לשתול קוד עוין במכשירי המשתמשים או לגנוב מהם מידע.
בעזרת כלים חינמיים הקיימים באינטרנט, ההאקר הממוצע יכול לפרוץ למכשיר ולבצע בו כל מה שעולה על רוחו. כך למשל, האקר מנוסה מסוגל ליצור אפליקציה (דמה או אמתית) ולשווק דרך פופ אפ, שיקפוץ לבעל המכשיר בעת גלישתו באינטרנט.
במקרה ולרוע המזל אם בוחרים להוריד את האפליקציה ששתל ההאקר, מאותו הרגע באפשרותו להתקין תוכנה זדונית ולהריץ אותה על גבי המכשיר, באמצעותה הוא מסוגל לדלות מידע אישי, להתקין אפליקציות נוספות, להעתיק סיסמאות השמורות במכשיר ועוד. למעשה, הפעולה הכי פשוטה וטריוויאלית עבורו והכי מסוכנת עבור הצרכן, היא הפעלת המצלמה והמיקרופון והקלטה של התוכן מרחוק.
יישומים שלא מתקינים
ישנן מספר פעולות, שתוכלנה לסייע להימנע ככל האפשר מפגיעה במכשיר האישי.
ראשית, אפליקציה מורידים לטלפון אך ורק מחנויות האפליקציות הרשמיות,
Google Play באנדרואיד או
Play store של ה-
IOS באפל. כאמור, למרות האבטחה והסינון, שהאפליקציות עוברות בחנויות הרשמיות, יתכן וההאקר הצליח להעלות את האפליקציה הזדונית שלו לחנות האפליקציות. לכן, חשוב לנקוט בשלבי זהירות נוספים. למשל, לשים לב לתגובות וביקורות המשתמשים בנוגע לאפליקציה - האם ישנן ביקורות על כך, שהיא אינה פועלת כראוי או שהיא פועלת באופן מוזר, האם כתבו, שהיא זוללת סוללה, עושה שימוש מאסיבי בנתונים או מבקשת להתקין אפליקציות נוספות בעת התקנתה. כל אלה צריכים להדליק נורות אדומות.
לאחר התקנת האפליקציה, חשוב להבין מה הן ההרשאות, שהאפליקציה מבקשת לקבל למכשיר. אם מדובר באפליקציה, שבעת השימוש בה אנו מעלים תמונות ולכן עלינו לתת הרשאה לגלריה או למצלמה, יש לקחת בחשבון, שתמונות אלו עלולות לשמש את החברה לבניית מאגר אדיר של משתמשים ברשת, שלא בהכרח רוצים לשתף או לפרסם את תמונתם. לכן, במידה ונותנים הרשאות מסוימות לאפליקציות, דיש לדעת, שלעיתים עלולות להיות לכך השלכות שלא מקווים להשיג. כמו כן, אם ההרשאה המבוקשת ע"י האפליקציה אינה הגיונית ביחס לתוכנה, יש להגביל אותה ולא לאפשר אותה כלל.
לדוגמא, אפליקציית עדכון אימוג'יס ל-
WhatsApp, שמבקשת הרשאה לרמקול המכשיר, צריכה לעורר את השאלה - מדוע? אם לא מסוגלות לספק תשובה תחת היגיון בריא, כנראה שמשהו כאן חשוד.
טיפ נוסף, שכדאי להכיר, הוא האופציה להפעיל את מנגנון ההגנה והסריקה,
Play Protect, שקיים בחנות האפליקציות של מכשירי האנדרואיד, שמבצע סריקה וזיהוי של אפליקציות מזיקות ומהווה עוד דרך מסוימת להגן על המכשיר.
בנוסף, קיימים כלי סריקה רבים, שבתמורה לתשלום סמלי ישמרו על המכשיר.
המלצה נוספת היא לקרוא את תקנון האפליקציה טרם הורדתה ולהבין האם האפליקציה שומרת מידע במאגרים ואף מתחייבת לסחור במידע שיש לה עם כל המרבה במחיר. כן יש אפליקציות שעושות את זה ותתפלאו, יש כאלו שגם כותבות זאת במפורש.
העולם בו אנו חיים מקשה על הגנה מלאה של הסמארטפון מפני פריצות של האקרים ולכן חשוב לנקוט בכל אמצעי הזהירות שניתן, כדי למזער את הסיכונים האפשריים. והכי חשוב - לעולם לא לשמור את הסיסמאות במכשיר הטלפון.
מאת:
דוריה גלעם, ספטמבר 2019.
מנהל פרויקטים וצוות התקיפה (צוות ה-
PT) ב-
2BSecure, חברת אבטחת המידע והסייבר של מטריקס.