כשטעות בתרגום יכולה ממש להלחיץ
כתבה שפורסמה השבוע בהארץ סיפרה על פירצת אבטחה בוויז שאפשרה לחוקרים לעקוב אחר משתמשים. חבל רק שהסבר הפירצה לקה בטעות תרגום, והסיפור האמיתי הרבה פחות סקסי.
1. תרגום לעומת מציאות
החוקרים גילו שהם יכולים לנטר את התקשורת בין הטלפונים הסלולריים של המשתמשים לבין השרתים של ווייז, למרות שהתקשורת מוצפנת. בהמשך הם הצליחו להשחיל שרת שלהם בתווך בין הטלפונים של המשתמשים לשרתי ווייז, ולהתחזות לשרת של השירות.
אותי הפיסקה הזו הלחיצה- האם וויז לא משתמשים בתקשורת מוצפנת? האם מישהו מצא דרך לבצע מתקפת האיש-שבאמצע על ההצפנה של וויז? מיד לחצתי על הקישור לכתבה המקורית לקרוא את הפרטים. לשמחתנו הכתבה כללה קישור לכתבה המקורית. הפיסקה באנגלית נראית כך:
Here’s how the exploit works. Waze’s servers communicate with phones using an SSL encrypted connection, a security precaution meant to ensure that Waze’s computers are really talking to a Waze app on someone’s smartphone. Zhao and his graduate students discovered they could intercept that communication by getting the phone to accept their own computer as a go-between in the connection. Once in between the phone and the Waze servers, they could reverse-engineer the Waze protocol, learning the language that the Waze app uses to talk to Waze’s back-end app servers. With that knowledge in hand, the team was able to write a program that issued commands directly to Waze servers
והנה מקור הטעות: השרת שהושחל בתווך בין הטלפונים של המשתמשים לשרתי וויז עליו כתבו בהארץ הוא בסך הכל מכונת פיתוח שכנראה הריצה Fiddler ושימשה בתור שרת מתווך (proxy) בין טלפון של אחד החוקרים לאינטרנט בזמן שהחוקר הריץ וויז. שימוש בשרת מתווך איפשר לחוקרים להבין את פרוטוקול התקשורת של וויז ולאחר מכן להתחזות למשתמש חוקי במערכת.
2. הסכנה ברובוטים
משתמשים רובוטיים במערכת הם בעית אבטחה ישנה בוויז כמו במאות מערכות אחרות. במקרה של וויז אם תמלאו את הכבישים במכוניות מזויפות השרת יתחיל לשלוח נהגים למקומות אחרים (כמו שכבר דווח בעבר) וכמו כן המכוניות המזויפות שלכם יוכלו לקבל מידע על משתמשים רגילים שנמצאים באזורן. כך המערכת בנויה.
והבעיה ממש לא ייחודית לוויז. שחקן רובוטי בפוקר יקלקל לכולם את המשחק. פרופילים פיקטיביים בטינדר יכולים להסתובב בעולם ובכל פעם שרואים משתמש מסוים לדווח שאותו המשתמש נמצא בשכונה. חברים פיקטיביים בפייסבוק שולחים וירוסים או תמונות של חתולים ועושים לייקים מזויפים על פוסטים. האזנות פיקטיביות בספוטיפיי עשויות להשפיע על חלוקת התמלוגים לאומנים.
הבעיה אמיתית והיא כאן כדי להשאר. חברות שאבטחת המידע חשובה להן צריכות להשקיע משאבים בזיהוי וחסימת אותם פרופילים מזויפים. וזה לא קל. כך מספר Ben Zhao, אותו החוקר שגילה את הפירצה הפעם:
“Not being able to separate a real device from a program is a larger problem,” said Zhao. “It’s not cheap and it’s not easy to solve.״
אבל בין זה לבין פענוח תקשורת מוצפנת המרחק עדיין גדול.