האקרים ינסו להשפיע על השיח (צילום: Janaka Dharmasena, 123RF)
משתמשים במסנג'ר? יכול להיות שמאזינים לכם | צילום: Janaka Dharmasena, 123RF

משתמשים בפייסבוק מסנג'ר? - יכול להיות שמאזינים לכם: רובנו משתמשים בהודעות הקוליות באפליקציות כמו וואטסאפ, פייסבוק מסנג'ר ועוד, כמה פעמים ביום. אנחנו מעבירים פרטיים אישיים, תמונות, וסתם מסרים שהיינו רוצים שיגיעו אך ורק לנמען שלנו מבלי לחשוב על כך יותר מדי. פרצה שהתגלתה בימים האחרונים במערכת ההודעות הקוליות בפייסבוק מאפשרת לצד שלישי לפרוץ ולהאזין להודעות הקוליות שנשלחות באפליקציה.

לסיפורים הכי מעניינים והכי חמים – הצטרפו לפייסבוק שלנו

כך זה עובד: בכל פעם שמקליטים הודעה קולית או הודעת וידיאו, הן נשמרות בקובץ זמני על שרת של פייסבוק - הקובץ משותף בין הצדדים שמנהלים את השיחה במסנג'ר וההודעה מגיעה באמצעות לינק לשולח ולמקבל ההודעה. אם מישהו פורץ לרשת האלחוטית של המשתמש הוא יכול באמצעות מתקפה פשוטה לשלוף את הלינק, להמיר אותו ולאפשר הורדה שלו לכל אחד ולא רק למי שמנהל את השיחה.

השרתים של פייסבוק לא מחייבים עבודה בפרוטוקול מאובטח

ישנם כמה גורמים לפרצה. ראשית, מכיוון שהשרתים של פייסבוק שאחראים על העברת המידע אינם מחייבים עבודה בפרוטוקול אינטרנט מאובטח (Https), שמחזק את ההגנה של האתרים ממתקפות סייבר. פרוטוקול פחות מאובטח מסכן את המידע ומאפשר פריצה בקלות יחסית לאתרים השונים. "אמנם ההודעות עוברות בפרוטוקול מאובטח", אמר אמיר כרמי, מנהל הטכנולוגיות של ESET ישראל. "אך אם האקר מעוניין בכך הוא יכול להתחבר לרשת האלחוטית של המשתמש ובאמצעות מתקפה פשוטה יחסית להוריד את רמת האבטחה".

54 פרצות אבטחה ב"אדובי רידר" (צילום: רויטרס, חדשות)
השרתים של פייסבוק לא מחייבים עבודה בפרוט | צילום: רויטרס, חדשות

שנית, היעדר אימות הוא בעייתי, אם הקובץ משותף בין שני משתמשי פייסבוק הוא לא אמור להיות נגיש לאף אחד פרט לשניים שלוקחים חלק בהתכתבות. גם אם למישהו יש את הגישה לקישור של קבצי האודיו יש לוודא שהגישה לפתיחתם מוגבלת.

הפרצה התגלתה על ידי חוקר מצרי ששלח את ממצאיו לחברת פייסבוק, אך הרשת החברתית השיבה לו כי לא מדובר בפרצת אבטחה משמעותית.

"חשוב לזכור שתוכנות מסרים ובכלל שירותים של החברות הגדולות הם שירותים חינמיים בגלל שהמשתמש מייצר הכנסה לאותן חברות", הסביר כרמי. "ההכנסה נובעת מאיסוף מידע שמתבצע על כל המשתמשים ונמכר לחברות פרסום. לכן בלי קשר לפריצה כזו או אחרת, מומלץ שלא להעביר מידע אישי או רגיש במסנג'ר של פייסבוק או בוואטסאפ של גוגל (שגם בה התגלתה פרצה נוספת לאחרונה), ולהשתמש בתוכנות שאינן מוכרות מידע לחברות פרסום ושמות דגש על אבטחה כמו Telegram".

מפייסבוק ישראל נמסר: "אנו מעריכים את דיווחי החוקר אך לא מדובר בפגם ואין יכולת השפעה על הפעילות הרגילה של קטעי קול במסנג'ר".