-פרסומת-

חלק מהאפליקציות ב-iOS מקליטות את הפעילות שלכם מבלי שתדעו

| יום חמישי, 7 בפברואר 2019, 16:22 | אפליקציות, אפליקציות אפל
iOS 12 (תמונה: Apple)

iOS 12 (תמונה: Apple)

בעיה חמורה נחשפה בחלק מהאפליקציות במערכת ההפעלה iOS של אפל למכשירי האייפון והאייפד. בבדיקה שערך אתר הטכנולוגיה TechCrunch נמצא כי חלק מהאפליקציות שילבו כלי פיתוח המאפשר הקלטה של פעילות המשתמש באפליקציה (session replay) והעברה שלו למפתחים, הבעיה נוצרת במימוש לא נכון החושף במקרים מסוימים את סיסמאות ופרטי האשראי של המשתמשים.

הבעיה הגדולה היא ששום אפליקציה שמבצעת הקלטת session replay לא מעדכנת בכך את המשתמשים או מתריעה בפניהם על כך, כאשר חברות כמו Glassbox המספקות שירותי אנליזת מידע שמופק מהקלטות אלו אינן צריכות הרשאות מיוחדות מהמשתמשים על מנת להקליט את השימוש שלהם באפליקציה ולשלוח אותו לשרת חיצוני לבדיקה.

בעוד העובדה כי המידע הזה מוקלט חמורה בפני עצמה, הבעיה האמיתית נוצרת במקרים בהם מתבצעת הקלטה “לא תקינה” של מידע. דוגמה לכך היא אפליקציית חברת התעופה Air Canada, המשתמשת בשירות של Glassbox המשמשת גם את כמה מאפליקציות הנסיעות הגדולות בשוק, בהן Hotels.com, Singapore Airlines, Expedia ועוד:

בעוד שדות מידע רגישים המכילים מידע כמו סיסמאות או פרטי אשראי אמורים להיות מושחרים בהקלטות session replay, מימוש לא תקין יכול לגרום לכך שפרטים אלו לא יוסתרו כראוי ויועברו הלאה לשרתים של חברות דוגמת Glassbox או של האפליקציות עצמן.

מהשלב הזה כל משתמש שיש לו גישה לבסיסי המידע של החברות הללו יכול לגשת לסירטון השימוש של המשתמש באפליקציה ולקחת ממנו את הפרטים, דוגמת פרטי האשראי, ללא צורך ב”פריצה” למכשיר, אלא באמצעות גישה פשוטה לשרת שמקבל את הסרטונים ישירות מהמכשיר של המשתמשים, כל זאת ללא ידיעתם כלל.

תגובת גלאסבוקס כפי שזו נמסרה לגאדג’טי:

“גלאסבוקס פיתחה תוכנה שמתעדת, מקליטה ומנתחת פעולות דיגיטליות מתוך מטרה הן לשפר את חווית המשתמש ביישומי רשת ואפליקציות והן להגן עליהם מפני בעיות אי-תאימות. בכל ענף בו פועלת טכנולוגיית גלאסבוקס, היא מנתחת את המסלול שעושה הגולש באתר, ומבחינה האם והיכן הוא מתקשה לבצע פעולות. כחברה חדשנית המפתחת טכנולוגיה מתקדמת לשיפור חווית הגולשים בווב ובאפליקציות, גלאסבוקס מחויבת לעמוד בסטנדרטים הגבוהים ביותר של אבטחה ואבטחת נתונים (למשל SOC2, GDPR) ומקדישה משאבים רבים להשגת מטרה זו”.

“בשום שלב נתוני הגלישה אינם נאספים ומוקלטים על ידי שרתי גלאסבוקס או כל גורם צד שלישי אחר – אלא מוחזקים ומנוהלים בכל העת על ידי בעלי האתר בלבד. יתרה מכך, הנתונים מוצפנים ומאובטחים בסטנדרט הגבוה ביותר. במסגרת הפעילות המשותפת עם לקוחותיה גלאסבוקס מאפשרת להם להגדיר את תכונות ההקלטה, עצימות ההקלטה ואף לשלוט בסוג ההרשאות לגורמים בתוך הארגון שעושים שימוש בטכנולוגיה. אנו שמחים וגאים כי השירות של גלאסבוקס ניתן היום לארגונים הגדולים בעולם בתחום התיירות, בנקאות, מדיה ועוד – שמכירים כי מקסום נכסיהם הדיגיטאליים נעשה תוך שמירה על נורמת אבטחת מידע מהטובות בעולם”.

במאגר הקופונים שלנו כבר ביקרתם?
סמארטפונים וגאדג'טים במחירים נוחים ובמשלוח ישיר עד הבית
לחצו כאן
עוד על הכותב
author-image
יאן לנגרמן
אשף מחשבים וסלולר, חובב אנימה, מנגה וסוסי פוני, גולש ספות חובב שאוהב לטייל בעולם ולפגוש אנשים.
סלולרי: Samsung Note 9 | מחשב: אני צריך לבחור רק אחד מהם?
תגובות לכתבה
גאדג'טי | Gadgety
ניווט באתר
קטגוריות
גאדג'טי
חיפוש כתבות