טלגרם מאפשרת לגורמים זדוניים להשיג את כתובת הבית שלכם
מאת:
מערכת Telecom News, 6.1.21, 14:40
האם הייתם הולכים ומפרסמים את כתובת הבית שלכם שלא לצורך? לטלגרם לא אכפת. מה עושים?
חברת אבטחתה מידע
ESET מסרה, ש
אחמד חסן, מהנדס תוכנה וחוקר, גילה פגם בעייתי בפיצ'ר 'אנשים בקרבת מקום' (בתמונה משמאל- צילום מסך מהבלוג של החוקר), של פלטפורמת המסרים טלגרם. לדברי החוקר, השימוש בתכונה יכול לעזור להאקרים למצוא את כתובת ביתכם.
'אנשים בקרבת מקום' היא אפשרות לתקשר עם אנשים באזור הגיאוגרפי של המשתמש. באמצעות בחירה באפשרות זו, תפתח בפני המשתמש רשימה של אנשים הנמצאים בקרבת מקום ובלחיצת כפתור אפשר גם לשלוח להם הודעה.
אז מה הבעיה?
האקרים וגורמים זדוניים יכולים לנצל את הפתח הזה ובאמצעותו לאתר את כתובתו המדויקת של משתמש.
איך?
באמצעות זיוף המיקום שלהם עצמם, ההאקרים יכולים להבין את הכתובת המדויקת של המשתמש.
גורמים זדוניים, למעשה, מציבים את עצמם באמצעות טכניקות של זיוף על גבי 3 נקודות במפה. כך, שלבסוף, הכתובת של המשתמש מתגלה בבהירות.
החוקר התריע בפני טלגרם, שבתגובה ציינו, שזו לא בעיה מבחינתם.
מעגלים שלבסוף מגלים את כתובתו של המשתמש (צילום מסך מהבלוג של החוקר):
מה עושים?
למרות העברת ההודעות בצורה מאובטחת, ניתן לראות, שהפלטפורמה בוחרת להתעלם מתכונה חשובה מאוד של פרטיות והיא להסתיר את המיקום המדויק של המשתמש.
ב
ESET מוסרים, שאפשרות הבחירה של הפעלת הפיצ'ר המדובר של 'אנשים בקרבת מקום' היא בידי המשתמשים וחשוב, שאלה יהיו מודעים לבעייתיות הזו, לפחות עד שטלגרם תבחר בכל זאת לטפל בנושא.
אנו חיים בעידן שיתוף מידע, ופרטים רבים אודותינו נמצאים ברשתות החברתיות. אפליקציות שונות מבקשות גישה לנתונים שלנו. חשוב להיות עם בקרה, לא לאשר כל דבר וגם להכיר מתי מידע שלנו נגיש לגורמים נוספים כמו כאן.
הבלוג המלא של החוקר עם כל הפרטים, שלבי הפעולה והתמונות - כאן.
עדכון 15.1.23: משטרת ישראל ענתה ב"אין תגובה" לחשיפת
אבי וייס לכך, שמשטרת ישראל השתמשה ומשתמשת גם כיום (למרות השבתת מערכת הפגסוס\סייפן, ראה
דו"ח מררי -
כאן ו
כאן), במערכת האזנת סתר לטלגרם - בתוכנה להעתקת טלגרם, מערכת נפרדת מזו של הפגסוס\סייפן. תגובת משטרת ישראל -
כאן.
עדכון 17.1.23: פורסם ע"י
עומר כביר מ"כלכליסט"
כאן (כותרת בלבד): "איגוד האינטרנט הישראלי: "המידע שהמשטרה שואבת ממכשירים לרוב כרוך בעבירות פליליות וחורג מסמכויותיה".
הדו"ח מבקר את השימוש שעושות רשויות אכיפת החוק בישראל בכלי פריצה, ריגול ושאיבת מידע. ומדגיש את הצורך לעדכן את החוק והרגולציה בנושא חדירה למכשירים חכמים ושירותי ענן. כמו כן, מחברי הדו"ח מציעים מתווה לאסדרת החיפוש."
המסמך המלא של המחקר מצוי
כאן (או
כאן, אם זה ייעלם מרשת האינטרנט).