פינת הסיפור ההזוי: האפליקציה שהתגלתה כזיוף

תרמית מפוקפקת שוב הצליחה להשתחל לכותרות של אתרי החדשות המובילים בעולם
App Allows Users To Help Save Migrants Crossing Mediterranean

בימים האחרונים החל להתגלגל סיפור באתרי החדשות הבינלאומיים כמו wired, האפינגטון פוסט, רויטרס ורבים וטובים אחרים על אפליקציה חדשה הרותמת את חוכמת ההמונים לגילוי ספינות פליטים בים התיכון. במקום להעביר את ארוחת הצהריים מול קנדי קראש ושאר המשחקים, כך נכתב בכתבות, אפשר להסתכל על תצלומי לווין בזמן אמת ולנסות לאתר ספינות פליטים במצוקה.

App Allows Users To Help Save Migrants Crossing Mediterranean

מאחורי האפליקציה עומדים MOAS, ארגון מבוסס ומוכר להצלת פליטים וחברה עלומת שם למדי בשם Grey Group Pte Ltd שנמצאת בסינגפור.

בקומוניקטים שהופצו ברחבי העולם, מסופר שהאפליקציה משדרת למכשיר של המשתמש תמונות לווין בזמן אמת ממקומות מועדים לפורענות שבהם ספינות פליטים עוברות בדרך כלל ומאפשרת למשתמש לסמן ספינות. מתנדבי הארגון יוכלו להודיע למשמר החופים הרלוונטי כדי שיוכל לסייע לספינות האלו ולהציל את חיי הפליטים. והכל בזכות הגולש מדושן העונג והסמארטפון שלו. נשמע נהדר, לא?

במבט מעמיק יותר, כל מתכנת/טכנולוג יתהה למה הארגון רותם בני אדם חיים למשימה שמחשב יכול לעשות בקלות. הרי זיהוי תמונה וזיהוי אובייקטים בתמונה זה משהו שאפשר לעשות כבר עכשיו ובקלות. אפילו לא צריך לבנות לזה תשתית. שירותי ניתוח תמונה כמו Haven on demand ושירותים אחרים מאפשרים API שעושה דברים כאלו באופן אוטומטי ומהיר. למה בדיוק צריך משתמש אנושי, שמועד לטעויות, לעשות משימה של מחשב? נכון. אם שירות או תוכנת ניתוח תמונות תבצע את העבודה הזו לא תהיה לנו אפליקציה מגניבה, אבל נוכל לעזור לפליטים, לא?

אחד מחוקרי האבטחה היותר פופולריים בטוויטר מסתתר מאחורי הכינוי SwiftOnSecurity ובחשבון הזה הוא כותב על ענייני אבטחה, סיסאדמין ועדכונים תוך כדי שהוא מתחזה לאלטר אגו ה-devopsי של הזמרת טיילור סוויפט. הוא הראשון שניסה להבין את המוזרות הזו. בסדרת ציוצים בטוויטר הוא החל לנתח את התעבורה שנעה בין האפליקציה למכשיר.

כפי שכל מתכנת ווב יודע, כל תעבורת הרשת בין מכשיר מסוים לרשת יכולה להיות מנוטרת באמצעות תוכנות כמו wireshark או fiddler. כך אפשר לבדוק תקלות משונות או שירות/אתר ומה שהוא משדר לשרת שלו.

באמצעות התוכנה הזו, וקצת קומן סנס, swiftonsecurity וצייצנים אחרים גילו שמדובר בצילומים סטטיים, שנלקחו מחופי לוב. בחינה מעמיקה נוספת של המטא מידע של התמונות גילתה שהן עברו עיבוד בפוטושופ.

מתוך הפיד של Matt Burke: @akatakritos
מתוך הפיד של Matt Burke: @akatakritos

כלומר – האפליקציה כולה היא הונאה אחת גדולה. היא לא מציגה תמונות בזמן אמת ובעצם היא כנראה תעלול פרסומי לגיוס תרומות במקרה הטוב. גולשים שניסו לדווח על 'ספינת פליטים' נדרשו להזין את מספר הדרכון שלהם, מה שיכול להצביע על כך שיש אפילו מטרות אפלות יותר לאפליקציה. ארגון MOAS לא טרח לענות בינתיים לפניות שנשלחו אליו דרך טוויטר.

עדכון: יש סיכוי שהאפליקציה הזו נועדה לזכות בתחרות פרסום. כך לפחות הולך ומסתמן. היא הוגשה לתחרות פרסום אחת לפחות.

מה המסקנה? המסקנה הראשונה היא שיש אנשים קקות. סליחה על הביטוי. אלפי אנשים מתים באחד מהמשברים ההומינטריים הקשים שיש בתקופתנו ויושבים כל מיני אנשי פרסום קקמייקה ורותמים את גל האהדה הזה למטרות אחרות לגמרי. יש כאלו שיגידו שזה צפוי. אותי זה סתם מרגיז. גם מרגיזה אותי העובדה שכל כלי תקשורת בעולם רץ-אץ לו לעשות קופי ופייסט בלי לעשות בדיקת עובדות מינימלית. זה לא אומר שכל עיתונאי ברויטרס צריך להיות מתכנת. אבל למה לא לדבר עם מתכנת/איש מקצוע לפני זה? כלי תקשורת בארץ לא נפלו בפח הזה, אבל אני חושש שזה יותר בגלל שמשבר הפליטים באירופה לא מאוד מעניין את התקשורת בארץ ופחות בגלל בדיקת העובדות….

מי שרוצה לעקוב אחרי התפתחות הסיפור או לראות איך הוא התגלגל מציוץ אחד, מוזמן לפרופיל המאוד מומלץ של SwiftOnSecurity.

פוסטים נוספים שכדאי לקרוא

תמונה מצוירת של רובוט שמנקה HTML
יסודות בתכנות

סניטציה – למה זה חשוב

הסבר על טכניקה פשוטה וידועה מאד שאנו מפעילים על מידע לפני שאנחנו מציגים אותו ב-HTML באפליקציה או באתר.

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

גלילה לראש העמוד