מחקר: אפליקציות בחנות של גוגל מדליפות IMSI ו-IMEI

אפליקציות אנדרואיד שנמצאו ב- Google Play עם 6 מיליון הורדות בארה"ב הדליפו נתונים רגישים

bigstock

חוקרי יחידה 42, צוות המחקר של פאלו אלטו נטוורקס, זיהו מספר יישומי אנדרואיד ב- Google Play שהדליפו נתונים. בין היתר מדובר ביישומים Baidu Search Box ו-Baidu Maps שיחד הורדו ששה מיליון פעם בארצות הברית. הנתונים שדלפו איפשרו מעקב אחר המשתשמשים, באופן פוטנציאלי לאורך כל חייהם. 

דליפת נתונים מיישומים בטלפונים ניידים היא בעיה ידועה בענף וידוע כי חלק מאפליקציות אנדרואיד מדליפות נתונים ממכשיר המשתמש. נתונים שדולפים מפרים את פרטיות המשתמשים ללא ידיעתם ויכולים לשמש להתקפות נוספות של פושעי סייבר, כמו ניטור של מיקום הטלפון או אחזור מספרים של אנשי קשר.

נתונים אלה עשויים להיות רגישים בכפוף לסוג המידע המועבר. נתונים המודלפים לעיתים קרובות על ידי יישומי אנדרואיד כוללים, בין היתר, את דגם הטלפון, רזולוציית המסך, כתובת ה-MAC של הטלפון, ספק התקשורת, סוג הרשת (Wi-Fi, 2G, 3G, 4G, 5G), מזהה אנדרואיד, IMSI (זהות בינלאומית למנויים ניידים) ו-IMEI (זהות בינלאומית לציוד נייד).

בעוד שחלק מהמידע הזה, כמו רזולוציית המסך, אינו מזיק למדי, ניתן להשתמש בנתונים כמו ה- IMSI לזיהוי ולמעקב אחר המשתמש באופן ייחודי, גם אם אותו משתמש עובר לטלפון אחר ולוקח את המספר. ה- IMSI מזהה באופן ייחודי מנוי לרשת סלולרית והוא בדרך כלל משויך לכרטיס ה- SIM של הטלפון, שניתן להעביר בין מכשירים. ניתן להשתמש בשני המזהים למעקב ואיתור משתמשים ברשת סלולרית.

יישומי אנדרואיד שאוספים נתונים, כמו ה- IMSI, מסוגלים לעקוב אחר משתמשים לאורך החיים של מספר מכשירים. לדוגמא, אם משתמש מעביר את כרטיס הסים שלו לטלפון חדש ומתקין יישום שאסף בעבר והעביר את מספר ה- IMSI, מפתח האפליקציה מסוגל לזהות את המשתמש הזה באופן ייחודי. ה- IMEI הוא מזהה ייחודי של המכשיר הפיזי ומציין מידע כגון תאריך הייצור ומפרט החומרה.

נתונים כמו ה- IMSI או ה- IMEI מבוקשים בקרב פושעי סייבר, שיכולים להשתמש בשיטות כגון לוכדי IMSI פעילים ופסיביים כדי לשמוע מידע ממשתמשי הטלפון הסלולרי. לאחר שלכדו את הנתונים, פושעי סייבר יכולים לגשת לפרופיל המשתמשים ולהפיק מידע רגיש אודותם. לדוגמא, אם עבריין סייבר תופס את מספר ה- IMEI של הטלפון, הם יכולים להשתמש בו כדי לדווח על הטלפון כגנוב, לגרום לספק להשבית את המכשיר ולחסום את הגישה שלו לרשת.

נתונים אלה יכולים להיות מנוצלים לרעה גם על ידי פושעי סייבר או גורמי מדינה כדי לפגוע בפרטיות המשתמש ולנצל את המידע שהודלף כדי ליירט שיחות טלפון או הודעות טקסט. ניתן להעמיד משתמשים בסיכון אם עברייני רשת או גורמי מדינה מיירטים הודעות המעבירות מידע בטקסט רגיל או עם הצפנה חלשה.

הרגישות של מידע ספציפי למכשיר, כגון IMEI, IMSI או כתובת ה- MAC של טלפון, מודגשת במדריך השיטות המומלצות של אנדרואיד למפתחי אפליקציות כיצד לטפל בזהירות במזהי משתמש ייחודיים. בפרט, המדריך מצביע על החשיבות של הימנעות משימוש במזהים ספציפיים לחומרה שאינם ניתנים לאיפוס של המשתמש, כולל IMSI או מזהה אנדרואיד.

אף שהדלפת נתונים כזו לא נחשב הפרה מוחלטת של מדיניות גוגל בכל הקשור לאפליקציות אנדרואיד, איסוף קודים המזהים - כגון כתובת IMSI או MAC - אינו מתקבל בברכה על פי המדיניות של אנדרואיד. חוקרי יחידה 42 הודיעה הן לבאידו והן לצוות אנדרואיד של גוגל על הגילוי החדש זה.

בגוגל אישרו את הממצאים ואף זיהו מקרים נוספים של הדלפות נתונים שלא הוגדרו ולפיכך הסירו את היישומים מ- Google Play ב- 28 באוקטובר 2020. למרות זאת, גרסה תואמת של Baidu Search Box זמינה כיום ב- Google Play . אפליקציית Baidu Maps נותרה לא זמינה. צוות אנדרואיד של גוגל מסר: "אנו מעריכים את עבודת קהילת המחקר, וחברות כמו Palo Alto Networks, הפועלות לחיזוק האבטחה של חנות Play. אנו מצפים לשתף איתם פעולה במחקר נוסף בעתיד".
 
מאפיינים דומים, שנמצאים בדרך כלל בתוכנות זדוניות של אנדרואיד, התגלו גם ביישומים הניתנים להורדה מחנויות אפליקציות רשמיות (כמו Google Play) ושיש להן מיליוני משתמשים פעילים מדי חודש. כדי למנוע דליפת נתונים, על מפתחי האפליקציות לעקוב אחר מדריך השיטות המומלצות של אנדרואיד ולטפל באופן מדויק בנתוני המשתמשים. גם משתמשי אנדרואיד נקראים להבטיח שהיישומים שלהם מעודכנים באשר להרשאות שאותם יישומים מבקשים במכשירים השונים.

אולי יעניין אותך גם