חולשת אבטחה התגלתה באחת ממצלמות הרכב הפופולריות בארץ
הפרסומות הציקו לו, אז חוקר אבטחה ישראלי החליט לבדוק מה מסתתר מאחורי מצלמות הדרך של Proof. מה שהוא מצא לא אכזב: חולשות אבטחה מפתיעות שטופלו רק אחרי התערבות של מערך הסייבר
תמונה מתוך עמוד הפייסבוק של Proof. עיבוד תמונה: גיקטיים
בשנים האחרונות הפכו מצלמות הדרך למוצר פופולרי למדי בכבישי ישראל, והיום אתם יכולים לבחור ממגוון די גדול של מצלמות ברמות שנות של מחיר – החל מיצרניות סיניות באתרים דוגמת עלי אקספרס, ועד לחברות ישראליות שמציעות מצלמות יקרות יותר עם פיצ'רים נוספים ומותאמים לישראל ובעברית. אבל כמו כל מוצר חכם ומחובר, גם המצלמות הללו עלולות לחשוף את המשתמשים לחולשות אבטחה מובנות, כפי שגילה איתי צוקרמן, חוקר חולשות בחברת סייבר.
צוקרמן גילה לדבריו חולשת אבטחה במצלמה של Proof הישראלית, שמשווקת על ידי החברה שמפיצה את מוצרי הרכב קוברה. אבל הוא לא עשה זה בדיוק מכוונת תחילה או כחלק מעבודתו. "שוטטתי באינטרנט וקפצו לי פרסומות של פרוף וזה קצת עיצבן אותי", סיפר צוקרמן, שהחליט לחקור את המוצר. "אם לא היו מטרידים אותי בפרסומת, אולי לא הייתי חוקר את המוצר", הוא מספר בחיוך.
התמונה באתר שחסכה לו כסף
החוקר החל את הבדיקה שלו עם התקנה של האפליקציה של החברה שזמינה להורדה בחינם. "הורדתי אותה והסתכלתי עליה מתוך הבנה שברוב המקרים, מדובר באפליקציה שמדברת עם שרת ושרת שמדבר עם המצלמה", הוא מסביר. ואכן הדבר היה תקף גם לאפליקציה של פרוף. "ניסיתי להבין באיזה אופן ובאיזו צורה האפליקציה מדברת עם השרתים של Proof", והוא התחיל לנתח את ה-URLים וה-Endpoints של ה-API כדי להבין כיצד היא עובדת. בשלב הראשון, הוא התחיל בבדיקת תהליך יצירת החשבון, וגילה לדבריו שכמשתמש נרשם לאפליקציה היא מבקשת ממנו להזין מספר טלפון וסיסמה, אך הוא הופתע לגלות שאין שום שלב של אימות דו-שלבי שמוודא שהמספר שלכם הוא אכן המספר שלכם באמצעות הודעת SMS למשל.
רוצים לקבל את הניולזטר השבועי של ITtime? הירשמו כאן
לאחר שהוא הבין שהוא יכול לפתוח חשבונות ללא כל תהליך אימות לכאורה, הוא בדק כיצד עובד תהליך הקישור של מצלמה לחשבון מסוים, וגילה שהוא זקוק למספר טלפון ומספר סידורי של מצלמה. אבל למרות שלא רכש כלל את המצלמה, הוא גילה באתר של Proof, וראה שם תמונה של מצלמה לדוגמה שעליה מופיע המספר הסידורי. עם זאת, כשניסה לשייך את המספר הסידורי הזה לחשבון החדש שלו, זה לא עבד. הוא מספר שלכמה רגעים הוא תהה אם מדובר במספר פיקטיבי שנועד לצורך האילוסטרציה, אבל לדבריו, המספרים היו מספיק רנדומליים כדי להיות לגיטימיים. אז הוא ניתח את המספרים והבין שהספרה האחרונה של המספר הסידורי היא מעין ספרת ביקורת, שבדומה למספר תעודת הזהות שלכם, אפשר לחשב איתה את המספרים החדשים. אז הוא הנדס את המספר לאחור, וגילה את האלגוריתם שייצר לו מספרים סידוריים של המצלמות של Proof.
התמונה מהאתר של Proof שממנה הכל התחיל
אחרי שהוא ניחש כמה מספרים סידוריים, הוא הצליח לקשר מצלמה שככל הנראה עדיין לא הגיעה ללקוח או לכל הפחות טרם הופעלה על ידו, מה שאומר שפוטנציאלית, שחקן רע יכול לבנות את אותו מאגר של מספרים סידוריים, ולשייך לחשבון שלו מצלמות שטרם קושרו, כך שלקוחות שירכשו את המצלמות יגלו שהמצלמה שלהם כבר נעולה ומשויכת לחשבון אחר. "אמרתי לעצמי: אוקיי. התקדמות מגניבה. אבל אותי עניין להשתלט על מצלמה מקושרת", מספר צוקרמן. בשלב הזה, הוא ניסה לבדוק כיצד עובד תהליך של ניתוק מצלמה, וראה שמה שהשרת מבקש, זה מספר טלפון ומספר סידורי. אבל בנוסף הוא גילה שהשירות לא מאמת שמי שמבקש לשחרר את המצלמה מחשבון מסוים הוא באמת בעל המצלמה, כי ה-Request עצמו שולח רק את המספר סידורי. "בהינתן כל מספר סידורי, אני מתחזה לבעל המצלמה, מנתק אותו מהחשבון ואז מחבר אותה לחשבון שלי", הוא מסביר.
חטיפה יותר פשוטה מהנשמע
בשביל לבדוק את התיאוריה הזאת, צוקרמן יצר כמה משתמשים פיקטיביים. הראשון, הוא המשתמש שאליו הוא שייך מצלמה שככל הנראה יושבת במחסן או על מדף בחנות. עם חשבון פיקטיבי אחר, הוא בעצם ביצע את ה"גניבה", וקישר את המצלמה לחשבון השני. כך, המצלמה שאפילו לא הייתה בידי צוקרמן בשום שלב עברה בין שני חשבונות שאף אחד מהם גם הוא לא שייך לו. על פניו, באופן תיאורטי, צוקרמן מסביר כי הוא יכול לנתק מצלמות פעילות מחשבונות פעילים בלי שום בעיה, ולהעביר אותם לחשבון שלו. בשלב הזה צוקרמן עצר את המחקר, כדי לא לפגוע בפרטיות של המשתמשים, כיוון שפוטנציאלית, הוא היה עשוי להגיע גם למצלמה פעילה ולצפות במשתמשים בה, כיוון שלפחות חלק מהמצלמות של Proof מחוברות לענן. במקום זאת, הוא ניסה לדווח לחברה על מה שגילה במהלך 5 הימים שבהם חקר את המערכת של Proof.
בפועל, מסביר צוקרמן, כמו לא מעט חברות ישראליות, גם Proof נעזרת לכאורה בשירותיה של חברה סינית בשם szime, ובמערכות שלה התגלו בפועל החולשות שהשפיעו על מוצרי Proof. "הם לכל הפחות בונים את האפליקציה ושרתי הבקאנד בענן. השתמשתי במנוע חיפוש כדי להצליב את הפרטים המזהים של הענן של פרוף כדי למצוא עוד עננים זהים ומצאתי את החברה הסינית הזאת. בגלל שהם משתמשים באותו הבקאנד ראיתי שגם הם פגיעים לאותה חולשה", הוא טוען.
"ניסיתי ליצור קשר עם החברה בכל הדרכים שהיו זמינות לי. שלחתי מיילים ללא מענה. ניסיתי את מספר הטלפון שהופיע באתר, ניסיתי ברשתות החברתיות, אבל לא מצאתי אף דרך תקשורת שקיבלתי בה מענה", מסביר צוקרמן. לדבריו, הוא אפילו קיבל תשובה במייל מנציג שירות לקוחות של Proof שטען ש"אין לנו מושג" למי להעביר את הפנייה שלו בנוגע לחולשה במערכות szime.
לאחר מספר חודשים הוא נזכר שטרם קיבל מענה והחולשה ככל הנראה עדיין פעילה, אז הוא החליט לפנות למערך הסייבר הלאומי, ובתוך כמה ימים, המערך דיווח לו בחזרה שהבעיה נפתרה. "להרבה חברות אין מנגנון פורמלי לדיווח פרצות. ב-99% מהמקרים זה לא קיים אז חוקרים מדווחים בכל ערוץ שאפשר. אני הייתי שם כתובת מייל באתר לפניות, וברמה הטכנית הייתי מכשיר את העובדים שעוברים על המיילים האלה לתת חשיבות גבוהה לדיווח על פירצות אבטחה ולבעבע את זה למעלה למנהלים. אם אותו עובד היה מתודרך שמיילים כאלה עוברים אוטומטית או מצופה להעביר אותם למנהל או לגורם שיודע להעריך אותם, אני חושב שהבעיה הייתה נראית אחרת", טוען צוקרמן. "מספיק מומחה סייבר אחד שהיה מסתכל על ה-API והשרתים כמו שאני עשיתי – רק מטעם החברה – והוא היה ב-5 דקות רואה את זה".
מחברת Proof נמסר בתגובה: "כמו כל חברה מובילה בתחום הטכנולוגיה, אנו פועלים באופן שוטף לאיתור חולשות אבטחה ולתיקונן, בשיתוף פעולה עם מומחי סייבר מהשורה הראשונה בארץ ובעולם. זוהתה חולשה נקודתית וזו טופלה באופן מידי במהירות וביעילות מול מערך הסייבר הלאומי. לא ידוע לנו על כל דליפת מידע".
הכתבה פורסמה לראשונה בגיקטיים
