אלכסנדר אנטיפוב
מומחי סימנטק זיהו בעיית אבטחה רצינית במספר אפליקציות מובייל פופולריות עבור iOS ואנדרואיד. אישורים לא מוצפנים ומקודדים קשיחים לגישה לשירותי הענן של Amazon Web Services (AWS) ושירותי הענן של Microsoft Azure Blob Storage נמצאו בקוד האפליקציה, מה שיוצר סיכונים של גישה לא מורשית לנתוני המשתמש ולקוד המקור.
מומחי Symantec מציינים שהבעיה נוצרה עקב שגיאות בשלב פיתוח האפליקציה. הטמעת נתונים ישירות בקוד של אפליקציה מאפשרת לכל מי שיש לו גישה לקוד הבינארי או המקור לפרוץ לתשתית הפנימית ולגנוב נתוני משתמש. תוקפים יכולים להשתמש במפתחות כדי לקבל גישה לא מורשית למתקני אחסון, כמו גם למאגרי מידע המכילים מידע סודי.
לדוגמה, אפליקציית Pic Stitch: Collage Maker, שהורדה למעלה מ-5 מיליון פעמים ב-Google Play, מכילה אישורי AWS מקודדים. נמצאה פונקציה בקוד שאחראית לבחירת הנתונים הדרושים בהתאם לסביבת השימוש. תוקפים יכולים לקבל גישה למפתחות לעבודה עם אחסון S3 ולתפעל נתונים ללא הגבלות.
בעיות דומות נמצאו באפליקציות iOS Crumbl, Eureka ו-Videoshop. Crumbl, אפליקציה עם מיליוני דירוגים ב-Apple Store, גילתה מפתחות סטטיים לגישה לשירותי IoT של AWS באמצעות WebSocket Secure (WSS). תצורה שגויה זו יוצרת סיכונים רציניים לנתונים ולתשתית.
אפליקציית Eureka משתמשת ב-AWS כדי לרשום אירועים והמפתחות שלו מאוחסנים גם בטקסט ברור. אפליקציית Videoshop אינה מצפינה את המפתחות הדרושים לאינטראקציה עם S3, מה שמקל על גישה לא מורשית.
בעיות עם אישורים בקוד קשיח נמצאו גם באפליקציות שעובדות עם Azure Blob Storage. לדוגמה, אפליקציית Meru Cabs, שהורדה למעלה מ-5 מיליון פעמים, מאחסנת מחרוזת חיבור עם מפתחות גישה לאחסון בענן בקוד. בעיות דומות דווחו ב-Sulekha Business, המשתמשת במפתחות לניהול פרופילים וחיובים, וב-ReSound Tinnitus Relief, שעובדת עם קבצי אודיו.
הימצאותם של אפליקציות אלו במכשיר אינה אומרת שהנתונים של המשתמש כבר נפגעו. עם זאת, ללא שינויים מצד המפתחים, פושעי סייבר יכולים לנצל נקודות תורפה ולקבל גישה למידע.
כדי להגן על הנתונים שלך, אנו ממליצים לבצע מספר שיטות עבודה מומלצות:
- אחסון מפתחות במשתני סביבה במקום להטמיע בקוד.
- שימוש במנהלים סודייםכגון AWS Secrets Manager או Azure Key Vault.
- הצפנת נתונים והפענוח שלהם רק כשהם מבוצעים.
- ביקורת אבטחה תקופתית וסקירת קוד.
- שילוב כלי אבטחה אוטומטיים לתוך תהליך הפיתוח.
הקפדה על הנחיות אלו תסייע למזער סיכונים ולשפר את אבטחת האפליקציות. האירועים שזוהו בדוגמאות אלה מדגישים את החשיבות של תעדוף אבטחה בכל שלבי הפיתוח.
טסלה שוב משכה תשומת לב על ידי הדגמת רובוטים דמויי אופטימוס שלה, שלדבריה מסוגלים לפעול אוטונומית. עם זאת, מאחורי התצוגה המרהיבה הייתה מערכה מוכרת שהזכירה תכניות טכנולוגיה ישנות מהמלחמה הקרה.
על הבמה באולפני האחים וורנר רובוטים נעו, רקדו, שיחקו ומזגו משקאות, ויצרו רושם של עצמאות מוחלטת. מאוחר יותר התברר שמאחורי הקלעים יש מפעילים השולטים בכל שלב של המכונות הללו, ויוצרים אשליה של אוטונומיה. טכנולוגיית שלט רחוק זו הייתה בשימוש מאז שנות ה-40, כולל תכניות של וולט דיסני, אך טסלה אינה חושפת עובדה זו, מה שמגביר את השפעת ההפגנה ויוצרת אשליה של חידוש.
מניפולציות כאלה מזכירות את המפורסמות התערוכה הלאומית האמריקאית במוסקבה ב-1959 – הנציגות הרשמית הראשונה של ארצות הברית בברית המועצות. התערוכה האמריקאית ביקשה אז להרשים את אזרחי ברית המועצות על ידי הצגת היתרונות של אורח החיים האמריקאי, מפפסי במחיר סביר ומתוק ועד קאדילק מפוארת. עיקר הדגש הושם על הישגים מתקדמים בתחום המדע והטכנולוגיה, בחיי היום-יום ובעיצוב, שכאמור יכולים להקל על חייו של אדם מן השורה.
אחת התערוכות המרכזיות הייתה "מטבח הנס" מטבח נס מ-RCA-Whirlpool, שהפך לסמל לעתיד אידיאלי שבו מטלות הבית נפתרות בלחיצת כפתור פשוטה. המטבח הזה כלל שואב אבק אוטומטי שיכול לנקות ולהבריק רצפות, מכשיר בישול מיידי שאפה עוגה בשלוש דקות ועגלת הגשה אוטומטית שהגישה, שטפה וייבשה כלים באופן עצמאי. כל זה נשלט באמצעות שלט רחוק, שהוחזק בידיה של אן אנדרסון השברירית, שהוסתרה מאחורי הקלעים.
"מטבח הפלא" הזה ייצג פחות הישג אמיתי ויותר דימוי אידיאלי של עתיד טכנולוגי שמשך את תשומת הלב של הציבור והוכיח את עליונות אורח החיים האמריקאי. המטבח לא היה טכנולוגיה מוכנה, אלא אשליה של עתיד – חלום של קידמה, שעם זאת לא היה זמין במציאות. מצגת "מטבח הנס" ביקשה לעורר השראה באזרחי ברית המועצות על ידי הדגמה שהמדע והטכנולוגיה של העתיד יכולים לשנות את החיים באופן קיצוני, ולחזק את תדמיתה של ארצות הברית כמובילה בקידמה טכנולוגית.
המצגת של טסלה, כמו תערוכת "מטבח הנס", לא הציגה חידושים מוכנים, אלא אשליה מיומנת. אשליית האוטונומיה שעליה הכריז מאסק התבררה כהפקה שתוכננה בקפידה. הצגת הרובוטים ה"אוטונומיים" הללו נועדה למשוך את תשומת הלב של הציבור והמשקיעים, אך היא מסתירה את מצב העניינים האמיתי, מכיוון שיצירת רובוטים אנושיים אוטונומיים באמת נותרה מטרה רחוקה.
מערכות אוטונומיות לחלוטין דורשות התקדמות משמעותית בלמידת מכונה, עיבוד חושי ואספקת חשמל. לעת עתה, טסלה נשארת בשלב של מושגים ניסיוניים, המודגמים כפתרון מלא. לא ברור אם רובוטים של Optimus באמת יכולים להפוך למכונות החדשניות שמבטיח מאסק, או שהם יישארו רק חלק מהצגה מרשימה הבנויה על אשליות.
המדענים הוכיחו שקריאת הערוץ שלנו מאריכה חיים!
בסדר, הם לא הוכיחו עדיין 😊 אבל אנחנו עובדים על זה, קחו חלק בניסוי – הירשמו ,והישארו מעודכנים!
