דו"ח: 72% מהאפליקציות המובילות שהתגלו כפרוצות – נותרו כך חודשים רבים

18 מתוך 25 האפליקציות המובילות שהתגלו בהן פרצות בספטמבר 2014 נשארו חשופות למתקפות גם חודשים אחר כך. הממצאים עולים מדו"ח האיומים של מק'אפי (McAfee).

הדו"ח מצביע על הכשלון של מפתחי האפליקציות הניידות להציע תיקונים לפרצות SSL, שמסכנות מיליוני משתמשי סלולר. החוקרים מצאו שהם הגיבו באיטיות לפרצות SSL בסיסיות: תהליך תיקוף לא תקין של שרשרת האישורים הדיגיטליים. בספטמבר אשתקד פרסם צוות תגובות החירום (CERT) של אוניברסיטת קרנגי מלון רשימה של אפליקציות ניידות פרוצות מסוג זה, לרבות כאלה שהגיעו למיליוני הורדות. בינואר בדקו החוקרים את 25 האפליקציות הפופולריות ביותר ברשימה, ששלחו אישורי כניסה דרך קישורים לא מאובטחים. נמצא כי 18 מהן עדיין לא תוקנו – למרות החשיפה הפומבית, למרות ההודעה למפתחים ובמקרים מסוימים אף למרות עדכונים רבים של גרסאות, שמעלים חששות נוספים, מעבר לסוגיית האבטחה.

החוקרים ביצעו הדמיה של מתקפות MITM (ר"ת Man-in-the Middle), שיירטו בהצלחה מידע ששיתפו משתמשים שונים במהלך תנועות SSL מאובטחות כביכול. המידע החשוף כלל שמות משתמש וסיסמאות, ובמקרים מסוימים גם אישורי כניסה דרך רשתות חברתיות ושירותים נוספים שמוצעים על ידי צד ג'.

אין אמנם הוכחה כי האפליקציות הניידות הללו נוצלו לרעה, אולם הסכנה גדולה, מאחר שמספר ההורדות המצטברות שלהן מגיע למאות מיליונים. בהתחשב בהיקף זה, ממצאי מק'אפי מצביעים על כך שההחלטה של מפתחי האפליקציות שלא לתקן פרצות SSL מעמידה בסכנה מיליוני משתמשים, החשופים פוטנציאלית למתקפות מסוג MITM.

משה אסרף, מנהל הפעילות העסקית של מק'אפי בישראל

לדברי משה אסרף, מנהל הפעילות העסקית של מק'אפי ישראל, "מכשירים ניידים הפכו לכלים חיוניים של משתמשים ביתיים ועסקיים, ככל שחיינו מתנהלים באמצעות המכשירים הללו והאפליקציות שפותחו לרוץ עליהם. אמון דיגיטלי הוא דבר חיוני לנו באופן מוחלט, כדי שנאמץ אותם ונהנה מהפונקציונליות שהם מציעים".

עוד ציין אסרף כי "מפתחי אפליקציות ניידות חייבים לקחת אחריות גדולה יותר להבטיח שהאפליקציות שלהם תואמות לתהליכי התכנות המאובטחים ולתגובות לפרצות שפותחו בעשור האחרון".

החוקרים חשפו בנוסף מידע על ערכת הפריצהAngler , שהפופולריות שלה צומחת, והזהירו מתוכנות PUP (ר"ת Potentially Unwanted Programs). אלה מתאפיינות בתוקפנות מתגברת, משנות הגדרות המערכת ואוספות מידע אישי, בלי שהמשתמשים מודעים לכך.