בלעדי ל"כלכליסט": פרצת האבטחה שאפשרה לזהות אתכם באמצעות מספר הטלפון

בעיית אבטחה באפליקציית MeZeZe הישראלית אפשרה לעקוף את מנגנוני ההגנה של החברה ולאתר את הבעלים של מספר טלפון מסוים. האפליקציה הציגה למשתמש את זהות המתקשר אליו גם אם מספרו לא מופיע ברשימת אנשי הקשר. בעקבות פניית "כלכליסט" חסמה החברה את הפרצה המתוארת. 

MeZeZe, שזמינה למכשירי אייפון ואנדרואיד (באייפון רק במכשירים פרוצים), מנהלת מאגר מידע נרחב המבוסס על רשימות אנשי הקשר של משתמשיה. עם התקנת האפליקציה והפעלתה, היא מעלה למאגר שלה את רשימת אנשי הקשר המלאה של המשתמש. כתוצאה מכך, מופיעים במאגר החברה משתמשים רבים שמעולם לא התקינו את האפליקציה או אף שמעו עליה.

החברה נעזרת במאגר נרחב זה כדי להציג למשמשיה את זהות המתקשר אליהם, בלי תלות ברשימת אנשי הקשר. אופן פעילות האפליקציה כבר העלה חששות לפרטיות המשתמשים, במשטרת ישראל אף הפיצו מזכר פנימי המזהיר שוטרים מהתקנת האפליקציה.

בשיחה עם "כלכליסט" לפני כחודש וחצי מנכ"ל החברה, יורם ארגמן, דחה חששות אלו ואמר: "אני לא מציג את המידע שמועלה ולאף אחד אין גישה חופשית אליו. משתמש לא יכול להתחיל לחפש במאגר המידע שלנו. שם המשתמש מוצג רק אם יש שיחה נכנסת ורק בעת הצלצול עצמו. אם השיחה לא נענתה, כבר אי-אפשר לראות מי התקשר. זה לגיטימי".

של מי המספר הזה?

ואולם, ל"כלכליסט" נודע כי ניתן לעקוף את הגנות החברה ולשלוף מידע מהמאגר בקלות רבה. בעת שמתקבלת שיחה, האפליקציה ניגשת למאגר המידע באמצעות שליחת בקשה הנראה כמו כתובת אינטרנט, שבה מופיע מספר הטלפון.

"כל מה שהייתי צריך זה רק להעתיק את הבקשה, לשנות בשורת הכתובת את המספר הרצוי, ואני מקבל את הפרטים - בלי לפתוח את או להתעסק עם קוד המקור של האפליקציה", אמר ל"כלכליסט" י', סטודנט להנדסת תוכנה שביקש שלא להיחשף. הוא אף השקיע דקות מעטות מזמנו, ובנה טופס אינטרנט שאיפשר להזין בקלות את המספר המבוקש ולקבל את הפרטים שמאחוריו בלחיצת כפתור.

העתקת הכתובת והחלפת מספר הטלפון במספר המבוקש אפשרה לכל אדם לקבל את פרטי המשתמש שמאחורי המספר, אם אלו נמצאים במאגר. מבדיקה שעשינו ב"כלכליסט" עולה שהטענות מדויקות, ובמקרים רבים מספרי טלפון שהוזנו לצורך הבדיקה החזירו את פרטי בעליהם. לעתים שם מלא, לעתים שם פרטי בלבד, לפעמים שם פרטי ואות ראשונה של שם המשפחה – הכול בהתאם למידע המצוי במאגר.

"המידע שהם מעבירים לא מאובטח", הוסיף הסטודנט. "מי שמחובר לרשת אלחוטית פתוחה בזמן השימוש באפליקציה בעצם מפרסם לכל מי שמחובר לרשת את מספר הטלפון של מי שמתקשר אליו ואת השם שלו. את הפרצה שהדגמתי אפשר לתקן באמצעות הצפנה של המידע". הפרצה, כאמור, נחסמה לאחר פנייתנו, אך המידע עדיין אינו מועבר באופן מוצפן: לדברי י' כעת נדרשת הבנה רבה יותר בנוגע למנגנון הפנימי של האפליקציה על מנת לשלוף מידע. 

עידן בכר, סמנכ"ל הטכנולוגיות ואחד ממייסדי MeZeZe, אמר בתגובה: "העלינו עדכון אבטחה משמעותי שיבלום 99% מניסיונות החדירה. ניסיון החדירה שמתואר בכתבה אפשר הגשה של עד 20 בקשות שלא דרך האפליקציה, ולאחר מכן נחסמה הגישה כליל. מנגנון זה עודכן וכעת החדירה לא תתאפשר כלל. בכל מערכת גדולה, אפילו פייסבוק, יש יכולת לבצע תמרונים ומניפולציות להוצאת מידע. חשוב לציין שאין אפשרות פריצה למערכות של MeZeZe, אלא ניסיונות חדירה".