חדשות הסייבר לשבוע האחרון
1. הטלפון החכם שלך הוא כמו מחשב זעיר בכיס שלך. הוא מכיל הרבה דברים חשובים, כמו התמונות שלך, ההודעות ואפילו הכסף שלך. לכן זה סופר חשוב לשמור על זה מפני תוקפים שרוצים לגנוב את המידע שלך. בואו נעבור על כמה צעדים שניתן לנקוט בהם בכדי להגן על הטלפון שלכם:
- נעילות חזקות (מומלץ, ביומטריות)
- עדכוני אבטחה שוטפים
- לשים לב לניסיונות פישינג דוא"ל או בSMS
- להתחבר לWIFI מאובטח (עדיף לא לרשתות ציבוריות/חינמיות)
- לסקור את ההרשאות שמעניקים לאפליקציות
- אל תבצע ג'יילברייק או רוט לטלפון
- לגבות את המידע
2. משרד המשפטים של ארצות הברית (DoJ), יחד עם ועדת הסחר הפדרלית (FTC), הגישו תביעה נגד פלטפורמת שיתוף הווידאו הפופולרית TikTok על "הפרה בוטה" של חוקי הפרטיות של ילדים במדינה. הסוכנויות טענו שהחברה איפשרה ביודעין לילדים ליצור חשבונות TikTok ולצפות ולשתף סרטונים ומסרים קצרים עם מבוגרים ואחרים בשירות. הן גם האשימו אותה באיסוף ושמירה בלתי חוקיים של מגוון רחב של מידע אישי מילדים אלה מבלי להודיע או לקבל הסכמה מההורים שלהם, בניגוד לחוק הגנת הפרטיות של ילדים באינטרנט (COPPA).
3. חברת Meta תשלם למדינת טקסס קנס של 1.4 מיליארד דולר לאחר שאספה נתונים ביומטריים של משתמשים ללא הסכמה מפורשת .התביעה נגד Meta הגיעה בעקבות הפיצ'ר ששיחררה החברה ב-2012 לפײסבוק בעזרתו ניתן לתייג משתמשים בתמונות באופן מהיר יותר (Tag suggestion). בשביל ליישם את הפיצ'ר החברה ביצעה סריקה וזיהוי פנים לכל אלו המופיעים בתמונות של משתמשים ושמרה נתונים אלו בשרתיה. כל זאת מבלי ליידע את המשתמש על כך ולקבל את הסכמתו. פעולות אלו נוגדות את החוק בטקסס העוסק באיסוף ושמירה של מידע ביומטרי ובעקבות כך הוגשה התביעה בשנת 2022 כנגד החברה.
וואטסאפ ו Windows
הגרסה האחרונה של ווטסאפ למערכות ההפעלה Windows מאפשרת לקבצי Python ו-PHP לרוץ ללא אזהרה מקדימה למשתמש.
חוקרי אבטחת מידע מצאו כי בעוד ווטסאפ מונעת פתיחה ישירה של קבצי EXE, BAT, DLL וכדו׳ היא לא עושה זאת עבור קבצי Python ו-PHP ומאפשרת להם לרוץ ללא התראה. בשגרה, כשמישהו שולח לכם קובץ EXE בווטסאפ מוצגת לכם אפשרות לשמור את הקובץ או לפתוח אותו ישירות מהאפליקציה (Save or Open).
בניסיון לפתוח את הקובץ תתקבל הודעת שגיאה מאחר ו-ווטסאפ לא מאפשרת פתיחה של קבצים מסוג זה ישירות מהאפליקציה. המשתמש נדרש לשמור את הקובץ מקומית במחשב ולאחר מכן להריץ. בבדיקה שעשה אתר BleepingComputer יחד עם חוקר אבט״מ נוסף מתברר כי ווטסאפ פועלת באופן שונה עם קבצי Python וקבצי PHP. כאשר משתמש מקבל קובץ מסוג זה ולוחץ על פתיחה (Open) ווטסאפ מפעילה את הקובץ ישירות מהאפליקציה ולמעשה מריצה את הקוד שבקובץ.
החוקר שזיהה את החולשה עם קבצי פייתון פנה לווטסאפ בתחילת חודש יוני אך הנושא לא טופל, לשאלה שהפנה אתר Bleeping בנושא ענה הדובר של ווטסאפ את התשובה הבאה:
"We've read what the researcher has proposed and appreciate their submission.
Malware can take many different forms, including through downloadable files meant to trick a user."
"It's why we warn users to never click on or open a file from somebody they don't know, regardless of how they received it — whether over WhatsApp or any other app."
אתר Bleeping המשיך לבצע בדיקות וגילה כי גם קבצי PHP ניתן להריץ ישירות מהאפליקציה בלא שמופיעה למשתמש אזהרה או שגיאה כלשהי. האתר שלח לווטסאפ הודעה בנושא אך לא קיבל תשובה עד כה .שימו לב – על מנת שקבצי ההרצה ירוצו על המחשב צריכות להיות מותקנות התוכנות המתאימות) לדוגמה, (Python כך שקהל היעד יכול להיות מפתחים וכדו׳.
מה הסיכון?
מפתח מקבל קובץ מתוקף או מחבר שהחשבון שלו נגנב על ידי התוקף, הוא פותח את הקובץ דרך האפליקציה של ווטסאפ ולמעשה מריץ קוד זדוני בעמדה. מה עושים? מומלץ לא לפתוח קבצים עם הסיומות הבאות באפליקציה של ווטסאפ ל-Windows:
PYZ (Python ZIP app)
PYZW (PyInstaller program)
EVTX (Windows event Log file)
PHP
