פרצה בשרת: מי מאזין להודעות שלכם בפייסבוק?
פרצה בשרת של הרשת החברתית מאפשרת להאקרים לפרוץ ולהאזין להודעות הקוליות שנשלחות באמצעות הפייסבוק מסנג'ר
משתמשים בפייסבוק מסנג'ר? - יכול להיות שמאזינים לכם: רובנו משתמשים בהודעות הקוליות באפליקציות כמו וואטסאפ, פייסבוק מסנג'ר ועוד, כמה פעמים ביום. אנחנו מעבירים פרטיים אישיים, תמונות, וסתם מסרים שהיינו רוצים שיגיעו אך ורק לנמען שלנו מבלי לחשוב על כך יותר מדי. פרצה שהתגלתה בימים האחרונים במערכת ההודעות הקוליות בפייסבוק מאפשרת לצד שלישי לפרוץ ולהאזין להודעות הקוליות שנשלחות באפליקציה.
רוצים לקבל עדכונים נוספים? הצטרפו לפייסבוק רשת
כך זה עובד: בכל פעם שמקליטים הודעה קולית או הודעת וידיאו, הן נשמרות בקובץ זמני על שרת של פייסבוק - הקובץ משותף בין הצדדים שמנהלים את השיחה במסנג'ר וההודעה מגיעה באמצעות לינק לשולח ולמקבל ההודעה. אם מישהו פורץ לרשת האלחוטית של המשתמש הוא יכול באמצעות מתקפה פשוטה לשלוף את הלינק, להמיר אותו ולאפשר הורדה שלו לכל אחד ולא רק למי שמנהל את השיחה.
השרתים של פייסבוק לא מחייבים עבודה בפרוטוקול מאובטח
הסיבות לפריצה נעוצות בכמה סיבות. ראשית, מכיוון שהשרתים של פייסבוק שאחראים על העברת המידע אינם מחייבים עבודה בפרוטוקול אינטרנט מאובטח (Https), שמחזק את ההגנה של האתרים ממתקפות סייבר. פרוטוקול פחות מאובטח מסכן את המידע ומאפשר פריצה בקלות יחסית לאתרים השונים. "אמנם ההודעות עוברות בפרוטוקול מאובטח", אמר אמיר כרמי, מנהל הטכנולוגיות של ESET ישראל. "אך אם האקר מעוניין בכך הוא יכול להתחבר לרשת האלחוטית של המשתמש ובאמצעות מתקפה פשוטה יחסית להוריד את רמת האבטחה".
שנית, היעדר אימות הוא בעייתי, אם הקובץ משותף בין שני משתמשי פייסבוק הוא לא אמור להיות נגיש לאף אחד פרט לשניים שלוקחים חלק בהתכתבות. גם אם למישהו יש את הגישה לקישור של קבצי האודיו יש לוודא שהגישה לפתיחתם מוגבלת.
הפרצה התגלתה על ידי חוקר מצרי ששלח את ממצאיו לחברת פייסבוק. מפייסבוק ישראל נמסר: "אנו מעריכים את דיווחי החוקר אך לא מדובר בפגם ואין יכולת השפעה על הפעילות הרגילה של קטעי קול במסנג'ר".
"חשוב לזכור שתוכנות מסרים ובכלל שירותים של החברות הגדולות הם שירותים חינמיים בגלל שהמשתמש מייצר הכנסה לאותן חברות", הסביר כרמי. "ההכנסה נובעת מאיסוף מידע שמתבצע על כל המשתמשים ונמכר לחברות פרסום. לכן בלי קשר לפריצה כזו או אחרת, מומלץ שלא להעביר מידע אישי או רגיש במסנג'ר של פייסבוק או בוואטסאפ של גוגל (שגם בה התגלתה פרצה נוספת לאחרונה), ולהשתמש בתוכנות שאינן מוכרות מידע לחברות פרסום ושמות דגש על אבטחה כמו Telegram".