עודד ירון
עודד ירון

אחת המסקנות החשובות שעולות ממסמכי ה-CIA שפרסם אתר ויקיליקס היא העובדה שהצפנה עובדת, ושימוש באפליקציות מסרים מוצפנות מקשה על יירוט ההודעות. גם רבים בממשל טראמפ הבינו את החשיבות בתקשורת מאובטחת ומוצפנת ואם אפשר גם כזאת שמשמידה את המסרים, ועל פי דיווחים בתקשורת האמריקאית רבים מהם אימצו את אפליקציית Confide. בשבוע שעבר התברר שהאפליקציה סבלה זה זמן רב משורה ארוכה של פרצות אבטחה שהיו עשויות לאפשר לתוקפים לצותת למשתמשים ולהתחזות אליהם.

Confide פותחה בידי סטארט-אפ שהוקם ב-2013, בתקופה שההדלפות של אדוארד סנודן עוררו בהלה מחודשת לפרטיות. החברה, שהקימו הווארד לרמן, ג'ון ברוד,ריץ' הונג וג'ף גרוסמן, הבטיחה ליצור "סנאפצ'ט לעסקים", כאשר המוקד לא היה דווקא בחברות אלא באנשים שפועלים בסביבה העסקית ומעוניינים לשמור את התקשורת שלהם מוגנת מעיניים חטטניות. לא פחות מכך, היא מציעה גם הודעות חד פעמיות - כדי שאיש לא יוכל להשתמש בהודעות הישנות שלהם נגדם. החברה מבטיחה הצפנה "ברמה צבאית" והגנה מפני צילומי מסך, מפני שהמילים הספיציפיות נחשפות רק לאחר שהקורא מעביר עליהן את האצבע או הסמן על המילים.

על פי דיווחים שונים בתקשורת האמריקאית, רבים מאנשי הממשל החדש אימצו את Confide בשמחה, במה שהעלה תהיות בנוגע להפרות אפשריות של החוק המחייב לשמר את התכתובת הקשורה לעבודתם. והיתה עוד בעיה שמומחי אבטחה העלו - בניגוד לסיגנל למשל, Confide היא אפליקציית קוד סגור, שמשתמשת בטכנולוגיית הצפנה פנימית של החברה. היא גם ספגה ביקורת על כך שעד לאחרונה היא לא הציגה ראיות לכך שהאפליקציה עברה  בדיקות של מומחים חיצוניים.

בשבוע שעבר התפרסמו התוצאות של הבדיקה הראשונה, והן לא נראו מעודדות. חברת IOActive מצאה שורה של פרצות באופן הפעולה של האפליקציה באנדרואיד, ווינדוס ו-MacOS. אלה אפשרו בין היתר, להתחזות למשתמש אחר, לגלות את פרטיהם של משתמשי האפליקציה ולצותת לתעבורה של משתמשים.  הם אכן הצליחו לגלות את הפרטים של כ-7,000 משתמשים באפליקציה וציינו כי נראה שבמסד הנתונים יש בין 800 אלף למיליון משתמשים בסך הכל. בנוסף, ציינה החברה, ניתן היה לשנות תוכן של הודעות וקבצים נלווים מבלי להצפין אותם.

IOActive דיווחה על הממצאים כבר בסוף חודש שעבר, וחברת Confide מיהרה לתקן את הבעיות. "כשהחוקרים שלנו יצרו קשר עם Confide כדי לדווח על הפרצות, הם היו פתוחים לקבלת המחקר, ופעלו מהר לטפל בפרצות הקריטיות, ולעבוד איתנו כדי לשתף את המידע", מסרה מנכ"לית IOActive, ג'ניפר סטפנס.

במגזין וויירד ציינו כי חוקרים אחרים, מחברת QuarksLab ביצעו בדיקות דומות והגיעו למסקנות דומות. "ההצפנה מקצה לקצה ב-Confide רחוקה מלהיות המתקדמת ביותר", הם כתבו. "פיתוח של אפליקציית מסרים מיידיים מאובטחת אינה פשוטה, אבל כשטוענים לכך, יש לשלב כמה מכניזמים מאוד חזקים מההתחלה".

"הסוגיות של ההודעות מתבססת על החוסן של TLS (פרוטוקול חיבור מוצפן). ל-Confide יש את היכולת הטכנית לקרוא את כל המסרים שעוברים דרך השרתים שלה. הצפנה מקצה לקצה מתבססת לחלוטין על השרת שדרכו ההודעות עוברות".

נשיא  קונפייד, ג'ון בורד, מסר לוויירד כי צוותי האבטחה של החברה מנטרים באופן שוטף את המערכות כדי להגן על המשתמשים. "הניסיון של IOActive לאסוף מידע של משתמשים זוהה ונבלם בזמן אמת. לא רק שהנושא הזה נפתר, אלא שגם לא זיהינו שום ניצול של זה בידי כל גורם אחר. בנוסף, וידאנו שלא ניתן יהיה להשתמש בשיטות דומות בעתיד".

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ