אם אתה לא יכול לנצח אותם, לתבוע אותם!
למעשה, הציטוט המקורי לא ממש הולך ככה, אבל אתה מבין את הרעיון: אם אתה לא יכול למנוע מאנשים להוריד אפליקציות מזויפות, נגועים בתוכנה זדונית, שמתיימרים להיות מגובים על ידי המותג החזק והעולמי שלך...
...מדוע שלא תשתמש במותג החזק והעולמי שלך כדי לתבוע במקום זאת את יוצרי הפצת האפליקציות הנוכלות הללו להפצת תוכנות זדוניות?
זו אינה טכניקה חדשה (פעולה משפטית של ענקיות תעשיית ה-IT עזרה בעבר להפיל אתרים זדוניים ושירותי הפצת תוכנות זדוניות), והיא לא תעצור את הגל הבא של העבריינים להתחיל מהמקום שבו הפסיקה המגרש האחרון.
אבל שווה לנסות כל דבר שמקשה על רוכלי תוכנות זדוניות לפעול לעין.
WhatApp בהתקפה
וואטסאפ, יחד עם חברת האם שלה Meta, החלה פעולה חוקית נגד שלוש חברות שלטענתה "הטעתה יותר ממיליון משתמשי WhatsApp לפשרה עצמית של חשבונותיהם כחלק מהתקפת השתלטות על חשבונות".
מדבר באופן רופף, פשרה עצמית בהקשר זה מתייחס להתחזות מבוסס אפליקציה: צור תיבת דו-שיח התחברות מזויפת השומרת עותק לא מורשה של כל מה שאתה מזין, כולל נתונים אישיים כגון סיסמאות.
כפי שאתה בוודאי יכול לדמיין, וכפי שטוענת וואטסאפ בהגשתה לבית המשפט, הערך העיקרי של החשבונות שנפגעו אלה למפרים לכאורה היה שהם יכולים לשמש ל"שליחת הודעות ספאם מסחריות".
בניגוד למערכת האקולוגית של הדוא"ל, שבה כל אחד יכול לשלוח דוא"ל לכל אחד (או, במקרה של שולחי הודעות בכמות גדולה, שבה מישהו יכול לשלוח דוא"ל לכולם), אפליקציות הודעות ומדיה חברתית כמו WhatsApp מבוססות על קבוצות סגורות.
סוג זה של עולם מקוון אינו כמעט קל לחדור לספאמי ורמאים.
ואכן, אנחנו מכירים הרבה אנשים שכבר כמעט ולא משתמשים בדוא"ל בכלל, ומעדיפים לתקשר עם חברים ובני משפחה בדיוק דרך סוג כזה של קבוצה סגורה, בעיקר בגלל שזה עוקף את מבול האשפה החודרנית והבלתי רצויה שהם מתמודדים איתם בדוא"ל.
כמובן, הצד השני של מערכת אקולוגית של מסרים בקבוצה סגורה הוא שסביר יותר שתאמין, או לפחות תסתכל, בדברים שאתה מקבל מאנשים שאתה מכיר.
לא סביר שתפתח מסמכים או ללחוץ על קישורים שהגיעו בבירור משולח דוא"ל שמעולם לא פגשת בעבר, לא רוצה לפגוש ולעולם לא תעשה...
...אבל גם אם אתה יודע שבן דודך צ'אזה נוטה לחלוק ממים נאנחים וסרטוני הרמת גבות, סביר להניח שעדיין תסתכל עליהם, כי אתה כבר יודע למה לצפות, והיי, זה בן דוד שלך, לא חלקם לגמרי שולח מקוון אקראי.
במילים אחרות, אם רמאים יכולים להיכנס לחשבונות המדיה החברתית שלך, הם לא רק מקבלים גישה לרשימת האנשים-אני-שמח-לצ'אט-לרשימה שלך, אלא גם רוכשים את היכולת לשלוח דואר זבל של רשימת האנשים-מי. -שמחים-לשמוע-ממך עם הודעות שנשלחו כנראה עם ברכתך.
למרבה הצער, זה לא מספיק רק לסמוך על השולח, כי אתה צריך לסמוך גם על המכשיר של השולח ועל החשבון שלו.
רשתות חברתיות זבל והונאות המבוססות על חשבונות שנפגעו זה קצת כמו אימייל עסקי פשרה (BEC), שם נוכלים טורחים לקבל גישה לחשבון אימייל רשמי בתוך חברה.
משמעות הדבר היא שהם מסוגלים להערים על העובדים של אותה חברה בצורה משכנעת הרבה יותר ממה שהם יכולים כשולחים מבחוץ:
בשם ובושה
WhatsApp שמה בתביעה שלוש חברות, הפועלות בדרום מזרח אסיה תחת שלושה שמות מותגים שונים.
החברות הן Rockey Tech HK Ltd (הונג קונג), Beijing Luokai Technology Co. Ltd (PRC), ו צ'יצ'ט טכנולוגיה בע"מ (טייוואן).
שמות המותגים שלפיהם WhatsApp טוענת שהם רוכלים אפליקציות ותוספות מזויפות היימודס, הדגש את מובי, ו היי וואטסאפ.
בפשטות רבה, וואטסאפ טוענת כי הנתבעים ידעו היטב שהתנהגותם אינה עומדת בתנאים וההגבלות השונים של Meta, וכי מטרת הפרת התנאים וההגבלות הייתה לקבל גישה לחשבונות של משתמשים לגיטימיים ולהשתמש בהם לרעה.
מסמך בית המשפט שהוגש על ידי WhatsApp כולל צילום מסך של האפליקציה הנוכלת לכאורה שנקראה היי וואטסאפ אנדרואיד שהגיעה לשוק ההורדות האלטרנטיבי של אנדרואיד חיים רעים, שבו תיאור האפליקציה מזהיר את המשתמשים בגלוי:
וואטסאפ אינה מאשרת כלל את המשתמש ב[כלי השינוי] הללו, כך שהורדת HeyWhatsApp […] יכולה להוביל לאיסור מהשירות […] היא גם לא מבטיחה תפקוד נכון, כלומר לעתים קרובות אנו נתקלים בחוסר יציבות”.
אפליקציות נוכלות אחרות בתביעה, אומר Meta, היו זמינות בחנות Google Play עצמה, כלומר, לא רק שהן קיבלו את האימפריה הרשמית של גוגל, אלא גם הגיעו לקהל רחב בהרבה (וכנראה לקהל עם יחס זהיר יותר לאבטחת סייבר).
אחת מהאפליקציות הללו הורדה יותר מ-1,000,000 פעמים, אומרים התובעים, ואפליקציה שנייה עלתה על 100,000 הורדות.
כפי שמצהיר וואטסאפ בעוונות, "הנתבעים לא חשפו בחנות Google Play או במדיניות הפרטיות שלה כי אפליקציה זו מכילה תוכנה זדונית שנועדה לאסוף את פרטי האימות של WhatsApp של המשתמש".
(כפרט לא פחות, אנחנו לא יכולים שלא לתהות כמה אנשים היו מתקינים את האפליקציה בכל מקרה, גם אם הנאשמים היו מודים מראש ש"התוכנה הזו גונבת את הסיסמה שלך".)
מה לעשות?
- הימנע מיציאה מהשוק אם אתה יכול. כפי שהמקרה הזה מזכיר לנו, הרבה תוכנות זדוניות עוברות את תהליך "בדיקת התוכנה" האוטומטי של Google Play, אבל יש לפחות כמה בדיקות ויתרות בסיסיות של אבטחת סייבר שמיושמות על ידי גוגל. לעומת זאת, אתרי הורדות אנדרואיד רבים מחוץ לשוק נוקטים באופן מכוון בגישה של "הכל הולך", וחלקם אפילו מתגאים בכך שהם מקבלים אפליקציות שגוגל דחתה.
- שקול אפליקציית אבטחת סייבר של צד שלישי עבור האנדרואיד שלך. אפליקציות של מומחי אבטחת סייבר עוזרות לך לזהות ולחסום מגוון רחב של אתרים נוכלים ואפליקציות זדוניות, גם אם חנות Play של Google מאפשרת להם לעבור. (כן, לסופוס יש אחד, וזה בחינם.)
- אם זה נשמע טוב מכדי להיות אמיתי, זה טוב מכדי להיות אמיתי. האם אתה באמת צריך לשנות את הצבעים של WhatsApp? אם האפליקציה הרשמית לא תאפשר לך לעשות זאת, למה שתסמוך על אחד שטוען שגילה פתרון עוקף? בפרט, אל תשים לב הרבה, ואפילו לא, לדירוגים שמקורם בהמון באתרי הורדת אפליקציות, כולל Google Play עצמה. כל אחד יכול היה להשאיר את הביקורות האלה.
- הסר באופן קבוע אפליקציות שאינך באמת צריך או שאינך משתמש בהן הרבה. באופן רופף, ככל שיש לך יותר אפליקציות בטלפון שלך, כך שטח פני השטח של ההתקפה שלך גדול יותר, והסבירות שבסופו של דבר תמסור נתונים אישיים שלא התכוונת. למה לתת מקום לבית לאפליקציות שאינן משרתות מטרה ברורה ושימושית?
היזהר במיוחד מאפליקציות שטוענות שהן זמינות רק באתרי הורדה חלופיים מסיבות מסקרנות כגון "גוגל לא רוצה שתהיה לך את האפליקציה הזו כי היא מפחיתה את הכנסותיהן ממודעות", או "אפליקציית ההשקעה הזו היא על ידי הזמנה בלבד, אז אל תשתף את הקישור המיוחד הזה עם אף אחד".
יש הרבה אפליקציות לגיטימיות ושימושיות שאינן תואמות את הכללים העסקיים והמסחריים של גוגל, ולכן לעולם לא יגיעו לעולם התחרותי של Google Play...
...אבל יש עוד הרבה הרבה אפליקציות שגוגל דוחה בגלל שהן מכילות בבירור פגמי אבטחת סייבר, בין אם בגלל מתכנתים שהיו עצלנים, לא מוכשרים או שניהם, או בגלל שיוצרי האפליקציה היו פושעי סייבר שלא שוחזרו.
כמו שאנחנו אוהבים לומר: אם יש לך ספק / השאר את זה בחוץ.
