הלקוחות כבר כועסים על מריוט בגלל זהמתכנן לחסום Wi-Fiנקודות חמות מהמלונות שלה -- ועכשיו, יש להם סיבה נוספת להתעצבן על ענקית המלונות.
עד השבוע שעבר, אפליקציית האנדרואיד שלה הייתה לא מאובטחת להפליא.
ראה גם:
מפתח התוכנה רנדי וסטרגרן דיווח על אבעיה מסיביתהוא גילה בתוך אפליקציית ההזמנות של Marriott עבור אנדרואיד. הוא הודיע למריוט ב-20 בינואר וחשף את הנושא בפומבי ביום ראשון.
נתונים נשלחו בין האפליקציה לשרתי האינטרנט של Marriott ללא אימות כלשהו, מצא וסטרגרן.
כדי להיכנס לאפליקציית Marriott, משתמש רק היה צריך להזין מספר חברות של Marriott -- לא היה צורך בסיסמה, קוד או אפילו שם משפחה. זה ייבא את כל ההזמנות של המשתמש לאפליקציה, כולל תאריכים ושמות משפחה של לקוחות. משתמש יכול פשוט להזין מספרים אקראיים עד שתלחץ על אחד ששייך לחבר, ואז לקבל את כל המידע הזה.
גרוע עוד יותר: כדי להתחבר כדי לראות הזמנה ב-Marriott.com, משתמש פשוט היה צריך מספר תגמולים ושם משפחה. משמעות הדבר היא ששימוש באפליקציית אנדרואיד כווקטור למציאת מידע על חשבונות משתמש שונים (כולל שמות משפחה), תוקף יוכל לאחר מכן להיכנס לחשבון זה באינטרנט, שם יוכל לקבל גישה גדולה עוד יותר, כולל היכולת לבטל הזמנות , לשנות פרטים אחרים ואפילו לגשת לארבע הספרות האחרונות של מספר כרטיס אשראי שמור.
זו בעיה מטרידה. מריוט תיקנה את הבאג 24 שעות לאחר ש-Westergren יצר קשר עם החברה עם מידע על הפגיעות, אך הוא מדגיש דאגה אמיתית הרבה יותר גדולה מאשר רק אפליקציית האנדרואיד של מריוט: חור האבטחה השחור של אפליקציות סלולריות רבות.
כשאנחנו כותבים על אבטחת אפליקציות לנייד, זה לעתים קרובות בהקשר של תוכנות זדוניות לנייד. אתה יודע, מהסוגים שלאפליקציות מזויפותשנועדו לגנוב את פרטי חשבון הבנק שלך או להחזיק את פרטי חשבון הבנק שלךתמונות בן ערובה.
לסוגים אלה של אפליקציות יש את סוגי איומי האבטחה שאפל, גוגל וחנויות אפליקציות לנייד אחרות יכולות בדרך כלל לסרוק מולם. האם אפליקציה מבקשת יותר מדי הרשאות? האם הוא מנסה לשכפל את עצמו ולקבל גישה לסוגים אחרים של נתוני מערכת? אלו אפליקציות שניתן לסרוק ולהסיר במהירות, לעתים קרובות לפני שהן מגיעות למקום כמו Google Play או App Store.
הבעיה הרחבה יותר עם אבטחת אפליקציות לנייד היא שיישומים רבים עשויים להיות בעלי חורי אבטחה או נוהלי אבטחה לקויים שמוציאים נתונים לשטח פתוח לכל אחד.
פגמים מסוג זה קשה יותר למנוע; חבילת הבדיקות האוטומטיות הסטנדרטיות שלך לא בהכרח יכולה לדעת אם המידע המועבר מאפליקציה לשרת הוא קריטי או חשוב או לא.
למרבה הצער, אין פתרון קל לשי. מלבד להפציר בחברות גדולות ובשירותי אינטרנט לאמץ שיטות אבטחה טובות יותר ולהשתמש בסטנדרטים גבוהים יותר להצפנה והעברת נתונים, משתמשים רגילים לא יכולים לעשות הרבה כדי להבטיח שהאפליקציות שבהן הם משתמשים שומרות על הנתונים שלהם.
לפני כמה חודשים,Duo Securityהראה כיצד היא הצליחה לעקוף את מערכת האימות הדו-גורמי של PayPal באמצעות אפליקציית iOS שלה. הבעיה הייתה אמיתית והיא הייתה גרועה.
למרבה הצער, ל-Duo Security והחוקר שלה היה קשה מאוד להגיע ל-PayPal ולגרום להם לפעול. רק לאחר שהחברה הבהירה שהיא תפרסם את הבאג, נראה ש-PayPal מתייחסת לנושא ברצינות.
יתר על כן, האיום האמיתי כפי שראינו עם ההחלטה של גוגל לעשותלהפסיק לתקןנקודות תורפה בגרסאות קדם-אנדרואיד 4.4 של WebView (רכיב הליבה המשמש לעיבוד דפי אינטרנט במכשיר אנדרואיד), הוקטורים לאיתור וניצול פרצות אבטחה - לפחות ברמת דפדפן האינטרנט הנייד - רק הולכים וגדלים.
אפילו במערכות הפעלה ניידות בהן המשתמש לא צריך לדאוג שהאבטחה של הדפדפן המובנה לא מעודכנת (כגון iOS), יכולות להיות בעיות באפליקציות המשתמשות בדפדפנים בתוך האפליקציה כחלק מהאפליקציה שלהן.
לעתים קרובות, אפליקציות משתמשות בדפדפן בתוך האפליקציה כדי לאפשר למשתמש להיכנס לשירות אינטרנט כגון Google אולְצַפְצֵף. הבעיה, כמו של Iconfactoryקרייג הוקנברישצוין, הוא שהאופי של אותם דפדפנים בתוך האפליקציה אומר שהאפליקציות עצמן יכולות לראות מה אתה מקליד. וזה עשוי להיות דבר טוב או לא.
מעבר לבעיות הקשורות לדפדפנים בתוך האפליקציה, הבעיה הגדולה ביותר עבור משתמשי קצה היא החור השחור היחסי שרבות מהאפליקציות הללו קיימות בתוכו, פשוט בגלל האופן שבו הן מתקשרות עם שרתים חיצוניים.
דחיפה לשיטות קידוד ותקנים טובים יותר, טכניקות ביקורת טובות יותר, ואולי גם קנסות נגד חברות בסדר גודל מסוים שמנצלות שוב ושוב את אמון הלקוחות, עשויה להיות הדבר היחיד שאנו יכולים לקוות לשיפור הנוף.
