This post is also available in:
English (אנגלית)
חקירה שנערכה לאחרונה חושפת נקודות תורפה מדאיגות באבטחת יישומי iOS. חוקרי Cybernews ניתחו יותר מ-156,000 אפליקציות וגילו כי 71% מהן מדליפות לפחות סוד אחד. בממוצע, הקוד של כל אפליקציה חושף מעל חמישה סודות, שחלקם עלולים לסכן את המידע של המשתמשים אם ינוצלו על ידי גורמים זדוניים.
בעיית הליבה נובעת מפעולה המכונה "hardcoding", שבה מידע רגיש כמו מפתחות API, סיסמאות וטוקני הצפנה מוטבעים ישירות בקוד המקור של האפליקציה. זה הופך את המידע לנגיש בקלות לכל מי שמסתכל על הקוד של האפליקציה.
ההשפעה של hardcoded secrets יכולה להיות חמורה. רבים מהסודות החשופים עוזרים לאפליקציות לאמת ולקיים אינטראקציה עם שירותי צד שלישי כמו Google Cloud, Facebook ופלטפורמות מודעות. חלק מהדליפות, כגון כתובות URL של מסד נתונים ומפתחות גישה לאחסון בענן, עשויות לאפשר לתוקפים לגנוב או למחוק נתוני משתמש. לדוגמה, מעל 78,000 אפליקציות חשפו מזהים שיכולים להעניק גישה לשירותי אחסון בענן כמו Amazon S3 או Google Cloud, על פי Cybernews. עם אמצעי אבטחה חלשים או נעדרים, התוקפים יכולים לבצע מניפולציות או להרוס קבצים מאוחסנים, תוך סיכון משמעותי למידע האישי של המשתמש.
החקירה חשפה גם סודות אחרים בסיכון גבוה שנחשפו, כולל מזהים ייחודיים לשירותי Google ואסימוני אינטגרציה של פייסבוק. הדלפות כאלה עלולות לאפשר לתוקפים להתחזות לאפליקציות או לבצע התקפות פישינג. באופן משמעותי, מזהי לקוח עבור OAuth Tokens המשמשים לאימות משתמש – מודלפים לעתים קרובות ועלולים לאפשר לתוקפים לחטוף סשנים או לגרום למשתמשים להעניק גישה לא מורשית לחשבונות שלהם.
תדירות הדליפות הללו מדגישה בעיה רצינית עבור אבטחה של מכשירים ניידים. דו"ח של GitGuardian מצא כי מעל 23 מיליון hardcoded secrets הועלו ל-GitHub בשנת 2024 בלבד. בהתחשב בכך שמפתחים רבים ממשיכים לעשות את הטעות הזו, היא מציגה סיכון הולך וגדל שתוקפים להוטים לנצל בקנה מידה גדול.
מאחר שהחולשות הללו עדיין נפוצות, הדחיפות עבור מפתחים לאמץ שיטות כתיבת קוד בטוחות יותר מעולם לא הייתה ברורה יותר. הגנה על נתונים רגישים מפני חשיפה היא קריטית לשמירה על פרטיות המשתמשים בעולם הדיגיטלי של ימינו.
