מחקר ישראלי : "ל- 40% מכלל היישומים המיועדים ל iOS יש בעיות אבטחה חמורות מאוד"

דו"ח שפורסם על ידי חברת הסייבר הישראלית צ'קמרקס ומעבדות AppSec מצא כי לאפליקציות iOS יש חורים באבטחת המידע- כך שניתן לפרוץ לכל האפליקציות ולגנוב נתונים אישיים.

רוצים לקבל את כל חדשות הדיגיטל והדברים הכי ויראליים ברשת? עשו לנו לייק בפייסבוק

במחקר חדש של חברת צ'קמרקס ומעבדות AppSec-labs נבדקו מאות יישומים (אפליקציות) מכל הסוגים (בנקאות, קמעונאות, משחקים ועוד) והציגו תמונה עגומה: כמעט לכל היישומים היו בעיות אבטחת מידע עם לא פחות מ-9 נקודות פריצה שונות- דבר היכול לגרום לגניבת נתוני המשתמשים על יד האקרים בקלות יחסית. בנוסף המחקר מראה תמונה חדשה לגבי יישומי מערכת ההפעלה של אפל ה-iOS שנחשבה עד היום למוגנת ובטוחה יותר מאשר מכשירי אנדרואיד.

" חשוב לי להבהיר שכשמדברים על אפל, מדברים על מכשיר מוגן אבל את האפליקציות כותבים מפתחים מכל העולם ולאפל אין אחריות לבעיות כשלמשתמשים גונבים נתונים" כך אומר ארז מטולה, מומחה אבטחת אפליקציות ומייסד חברת AppSec Labs. "בפועל, מי שגורם לבעיות הם המפתחים של האפליקציות".

מהבדיקה עולה ,כי לכמעט 40% מכלל היישומים המיועדים ל- iOS יש בעיות אבטחה חמורות מאוד ובכללותן ליישומים הקשורים לבנק המכילים מידע רגיש מאוד- פרצות אבטחה שכל האקר "פשוט" יכול לפרוץ. הסיבה? מאחר והדעה הרווחת אומרת כי מכשירי iOS מאובטחים יותר ממכשירי אנדרואיד- מתכנתי היישומים לאנדרואיד "משקיעים יותר" בתכנות מאובטח בזמן שמפתחי יישומים לiOS קצת פחות מקפידים על נהלי כתיבת קוד מאובטח ומסתמכים על כך שמערכת ההפעלה עצמה "שומרת" עליהם. "התוצאות מדאיגות מאוד ומציגות תמונה עגומה של מפתחי יישומים שלא משקיעים מספיק מחשבה בנוגע לאבטחת מידע בשלב הפיתוח והקידוד" אומר סמנכ"ל השיווק של צ'קמרקס, אסף שולמן . "סביר להניח כי נראה עלייה במספר הפריצות בזמן הקרוב במכשירים עם מערכת iOS" הוסיף.

לאחרונה אנחנו נתקלים ביותר ויותר ידיעות על פרצות ונוזקות שמוצאות דרכן ישירות אל תןך הגן הסגור של אפל. כיצד זה קורה? היכן טמון הקושי בסינון האפליקציות? "בפועל, למרות שהמכשירים מאוד מוגנים- מפתחי האפליקציות חושבים שאפל "עושים להם את העבודה" ולכן נושא האבטחה "נופל בין הכיסאות"- אפל אומרים שזה לא באחריותם אלא באחריות המפתח ואילו המפתחים אומרים כי אפל צריכה להגן יותר טוב- מי שנפגע בסופו של דבר הוא משתמש הקצה".

"לגבי הסינון, אפל עושים סינון בסיסי רק מהאינטרס האישי שלה כך שמבוצעת בדיקה שהאפליקציות לא פוגעות ולא מאטות את המכשיר. המפתחים חושבים שהם לא צריכים להשקיע באבטחה כי מבחינתם הם עברו את הסינון של אפל לכניסה לחנות,ופה לכאורה הם הסתיים תפקידם".

ביחס לאנדרואיד, היכן טמונה נקודת התורפה העיקרית לדעתכם באפליקציות הנבנות לios?
"אפל ואנדרואיד עושות עבודה טובה מאוד למרות שהן בגישות שונות- אנדרואיד עם בקוד הפתוח ואפל בגישת הגן הסגור. בגישת הקוד הפתוח של אנדרואיד, אפשר למצוא בקלות יחסית בעיות אבטחה לעומת הגן הסגור שקשה למצוא בעיות אבטחה- שקשה יותר לאתר לאחר שהאפליקציה כבר יצאה לאוויר העולם. ולכן, מאחר ויש קושי למצוא בעיות בגן סגור המפתחים מרשים לעצמם להתרשל".

"כשאנחנו עושים בדיקות אבטחה- אנחנו בודקים גם את הגרסה לאנדרואיד וגם את זו של iOS ומשווים בין הגרסאות" אומר ארז מטולה, מנכ"ל מעבדות AppSec ומוסיף "בזכות ההשוואה הבנו כי המתכנתים של ה- iOS פשוט עובדים בצורה לא נכונה ומרשים לעצמם לעשות החלטות אבטחה חמורות שמגדילות את נקודות התורפה ביישומים שלהם המאפשרות פריצת האקרים .מעבר להשוואה בין שתי מערכות ההפעלה המובילות בשוק, המחקר חושף בעיה כללית ומציג ממוצע של יותר משלוש חולשות קוד בעלות רמת סיכון גבוהה או קריטית בכל האפליקציות שנבדקו.

האם לדעתכם חלה התדרדרות ברמת אבטחת הגן הסגור של אפל? לא חלה התדרדרות באפל! היא ממשיכה בקו שלה: אחראית רק על המכשירים ולא על האפליקציות- ולכן המצב מבחינתם לא השתנה.

ולסיום, כיצד משתמש רגיל יכול לזהות שמשהו לא כשורה באפליקציה שזה עתה הוריד? מה הם הסימנים הבולטים לכך שאפליקציה תמימה היא למעשה נוזקה? האם יש דרך לזהות כזו טרם הורדה למכשיר?
"אין למשתמש הקצה אמצעים או ידע מספיק הנדרש לאתר האם יש באפליקציה הנתונה בעיית אבטחה- כי זה לחלוטין בידי ובאחריות מפתח האפליקציה לאתר פרצות אבטחה. רק משתמש שמבין באבטחה יכול לזהות בעיות ולכן נדרש מומחה אבטחה בשביל לאתר פריצות. אני ממליץ להתקין אפליקציות ממקורות מהימנים ולא רק מהאינטרנט אלא רק מהחנות הרשמית של אנדרואיד ואפל - כל הורדה ממקור אחר יכולה להוריד אפליקציות מרושעות וזדוניות. אומנם גם מהאתר הרשמי זה לא 100% בטוח אבל זה לפחות מצמצם את הסיכון".