X

דו"ח אבטחה: פרצות ובעיות פרטיות חמורות ביישומוני המפלגות

חברת צ'ק-פוינט בדקה את האפליקציות של המפלגות • לליכוד יש בעיות אבטחה ואילו העבודה מעתיקה את אנשי הקשר של המשתמשים ואף עורכת עליהם פעולות קטלוג - בניגוד לתנאים של גוגל

ניב ליליאן
, עודכן
0
מפלגות באפליקציות. פתקי הצבעה // צילום: יוסי זליגר

העולם הווירטואלי הופך להיות חלק משמעותי מכל הליך בחירות בעולם המערבי ובכלל, אם זה באתרי המפלגות, ברשתות החברתיות וגם... באפליקציות. חברת האבטחה הישראלית צ'ק-פוינט בדקה את האפליקציות הקיימות של מפלגות העבודה, הליכוד וישר ומצאה בהן פרצות אבטחה רציניות לצד פגיעה חמורה בפרטיות המשתמשים ופעילי המפלגה, במקרה של מפלגת העבודה. ומה עם כחול לבן? למפלגה אין אפליקציה רשמית, ולכן לא נכללה בדו"ח. 

חשוב לציין כי בשני המקרים (הן של הליכוד והן של העבודה) מדובר במפלגות המקיימות בחירות מקדימות עם עשרות אלפי מתפקדים.
 

הליכוד: פרצות אבטחה

לליכוד יש אפליקציה הן ל-iOS והן לאנדרואיד, שפותחה על ידי חברת בוזונט ומיועדת בעיקר לחיזוק הקשר עם פעילי המפלגה. האפליקציה עודכנה לאחרונה בספטמבר 2018. 

הרישום לאפליקציה מתבצע על ידי הזנת מספר תעודת זהות וטלפון נייד, המשמש לאימות באמצעות הודעת SMS באורך של 4 ספרות. צורת רישום זו חושפת את הפעילים להתקפות Brute Force, המאפשר לפרוץ את הסיסמה פשוט על ידי הזנה של כל הרצפים האפשריים – משימה שמחשב יכול לבצע תוך דקות אחדות. כך, אפשר להתחבר לאפליקציה עם מספר זהות של כל חבר ליכוד ולבצע פעולות בתוכה בשמו, כמו גם להוריד פרטים מזהים כמו טלפונים, כתובות אימייל, כתובות מגורים ותפקידים במפלגה. עוד התקשורת עם השרתים מתבצעת בפרוטוקול לא מאובטח, המאפשר לצד שלישי ליירט את הנתונים ולגנוב אותם. 

צ'ק-פוינט מציינים בדו"ח לטובה כי מפלגת הליכוד הייתה קשובה להתראות על הליקויים, ופעלה לתיקונן במהירות. 
 

העבודה: מעתיקים אנשי קשר

אפליקציית העבודה לבחירות הקרובות פותחה על ידי בית התוכנה runloop והיא זמינה הן לאייפון והן לאנדרואיד בחנויות האפליקציות היחסיות. האפליקציה נועדה לאפשר לידיד או לפעיל המפלגה גם להשפיע על חבריו, ולכן היא גם מבקשת גישה לאנשי הקשר, לרבות אפשרות לקטלג לפי מידת התמיכה במפלגה ועד כמה הוא פתוח לניסיונות שכנוע. בדברי ההסבר, אליבא דה צ'ק-פוינט, כתוב: " תוכן השיחות לא ינוטר ו/או יישמר על ידי המפלגה". 

ברם, מיד עם ההקשה על הכפתור הגדול "התחל להשפיע" נשלחים כל פרטי אנשי הקשר שעל המכשיר למאגר המידע של המפלגה, לרבות שמות, מספרי טלפון וכתובות אימייל, כך כתוב בדו"ח של צ'קפוינט. עוד מתועד אופי הקשר של מחזיק האפליקציה עם כל איש קשר רלוונטי, כנראה מתוך כוונה להשפיע על קרוביו, לרבות חיפוש מילים המעידות על קרבה משפחתית כמו "אבא", "אמא", "סבתא" וכו'. יש לציין שהפרקטיקה הזו אסורה במפורש בתנאי השימוש של חנות האפליקציות של גוגל. 

ישר: הדגמה בלבד

מפלגת "ישר" חרתה על דגלה דמוקרטיה ישירה, והתחייבה כי נציגיה בכנסת יפעלו לפי ההצבעות של המשתמשים באפליקציה. צ'קפוינט מסבירים כי דרך פעולה כזו, מחייבת אמצעי אבטחה חמורים כדי למנוע הטייה או התערבות חיצונית בתוצאות. הניסיון בעולם בינתיים מלמד כי מכונות הצבעה אלקטרוניות לרוב רגישות לתקיפות. 

האפליקציה של רשימת "ישר", המציגה את המפלגה ועקרונותיה ונציגיה, ולטענת המפלגה, תגובות המשתמשים אכן יחייבו את נבחריה אם תיכנס לכנסת.  האפלקציה כוללת תכונת הצבעות לכנסת לצורכי הדגמה בלבד, ולכן אין להתייחס לסוגיה הזו בעניין הזיהוי, מלבד צילום המשתמש בצמוד לתעודת זהות. 

בשלב זה, לא הקדישו אנשי צ'קפוינט תשומת לב רבה לאפליקציה, ובדיקה מעמיקה יותר תתבצע באם ייבחרו נציגי המפלגה לכנסת ואכן יפעלו בדרך המוצהרת, או אז תבצע החברה בדיקה של אמצעי ההצבעה הייחודי הזה. 

 

תגובות

ממפלגת הליכוד נמסר: "קיבלנו את פניית צ׳ק פוינט, טיפלנו בפירצה מייד - מידע אישי לא דלף ושום נזק לא נגרם".

ממפלגת העבודה נמסר: "מודים לחברת צ'ק פוינט שציינה לחיוב את רמת אבטחת המידע של מפלגת העבודה. מטרת האפליקציה היא לאפשר לפעילי המפלגה לשכנע את חבריהם באמצעות העברת תכנים באופן ישיר. לשם כך האפליקציה נדרשת לגשת לאנשי הקשר של המשתמש. הטענה המוצגת איננה נכונה, מאחר וכדי לקבל גישה לרשימה נדרשת הסכמתו של המשתמש באפליקציה, כפי שנדרש בחנויות האפליקציות וכפי שעושות עוד אלפי אפליקציות ברחבי העולם. מיפוי אנשי הקשר נעשה עבור שיפור חוויית המשתמש בלבד והוא אינו נשמר״.

ממפלגת ישר נמסר כי: "מפלגת ישר מחויבת לסטנדרט אבטחה מחמיר, הכולל ליווי של יועצי סייבר בכירים והעמדת צוות אדום לטובת זיהוי ואיתור חולשות אבטחה פוטנציאליות. אנו פועלים באופן יום-יומי לניטור וחיזוק מנגנוני ההגנה שלנו כחלק מסטנדרט זה. פיצ'ר "הצבעות בכנסת" אכן מוגדר כ-פיצ'ר ניסיוני ולא מחייב, אך פי'צר "הצבעות המפלגה" פעיל ומחייב כבר היום את המפלגה בהחלטות המתקבלות בו״. 

בהכנת הידיעה השתתפו יורי ילון ויהודה שלזינגר

 

 

 

 

 

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
בחירות 2019הליכודהעבודה

כדאי להכיר