פרצת אבטחה בוואסטאפ חייבה למחוק צ'טים קבוצתיים
חוקרי צ'ק פוינט איתרו חולשת אבטחה שהקריסה את אפליקציית וואסטאפ וחייבה את מחיקת התוכן בצ'טים קבוצתיים • החולשה מאפשרת להקריס את האפליקציה הפופולרית דרך שליחת לינק זדוני לשיח קבוצתי (Group Chat) • מעבר לקריסת האפליקציה, החולשה מחייבת הורדה מחדש של האפליקציה ומחיקת כל התוכן בקבוצה אליה נשלח הלינק
טכנולוגיה 17.12.2019 | 15:44
אפליקציית whatsapp צילום: בחדרי חרדים
חוקרי הסייבר של חברת צ'ק פוינט, דיקלה ברדה, רומן זאיקין ויערה שריקי, הובילו לתיקון חולשת אבטחה חדשה באפליקציית המסרים הפופולרית וואטסאפ. החולשה אפשרה לגורמים זדוניים להחדיר לינק לצ'טים קבוצתיים אשר הקריס את האפליקציה לכל חברי הצ'ט, באופן שמחייב את מחיקת האפליקציה, הורדתה מחדש ומחיקת כל הנתונים בצ'ט הקבוצתי.
כידוע, לוואטסאפ למעלה מ-1.5 מיליארד משתמשים בכל העולם והיא נחשבת לאפליקצית המסרים המובילה בעולם. למעלה מ-65 מיליארד הודעות נשלחות באפליקציה מדי יום.
בכל צ'ט קבוצתי בוואטסאפ יכולים להשתתף עד 256 חברים. באמצעות חולשה זו, כל חבר בקבוצה יכול לשלוח לינק זדוני דרך אתר האפליקציה - whatsapp web. עם שליחת ההודעה עם הלינק הזדוני לקבוצה - האפליקציה קורסת לכל חברי הצ'ט ונמנעת מהם כל גישה חוזרת לאפליקציה אלא אם היא מוסרת לחלוטין והצ'ט המדובר נמחק. צ'ק פוינט דיווחה על החולשה לוואטסאפ וזו תיקנה את החולשה בתוך ימים ספורים.
עודד ואנונו, ראש מחלקת חולשת מוצרים בצ'ק פוינט, אשר עמד בראש המחקר אמר כי "ואסטאפ היא אחת מאפליקציות התקשורת המובילות בעולם לצרכנים, עסקים וממשלות, ולכן היכולת לעצור את השימוש בה ולהביא למחיקת הזכרון בקבוצות השיחה היא תחמושת משמעותית עבור שחקנים זדוניים. אנו ממליצים לכל צרכני האפליקציה לוודא שהיא מעודכנת בעדכון התוכנה האחרון שלה בכדי להבטיח שהם מוגנים מחולשה זו. וואטסאפ הגיבה במהירות ובאחריות לממצאים אלו".
צ'ק פוינט דיווחה לוואטסאפ על החולשה ב-28.8.19 וזו הכירה בחולשה ותיקנה אותה תוך ימים. עדכון התוכנה מספר 2.19.58 כולל את התיקון לחולשה האמורה.
אהרן קרט (Ehren Kret), מהנדס תוכנה מטעם וואטסאפ מסר: "וואטסאפ מלאת הוקרה לקהילה הטכנולוגית שמסייעת לה לשמור על אבטחה חזקה באפליקציה עבור כל משתמשיה ברחבי העולם. דיווח אחראי מסוג זה של צ'ק פוינט אפשר לנו לפתור את הנושא במהירות עוד באמצע ספטמבר. כמו כן, הוספנו אמצעי בקרה נוספים למנוע מאנשים להיות מצורפים לקבוצות שהם לא מעוניינים להיות בהן , וזאת בכדי להמנע מתקשורת עם גורמים בלתי רצויים".
המחקר הנ"ל מבוסס על כלי שפיתחו חוקרי צ'ק פוינט באמצעותו הם איתרו חולשות אבטחה באפליקציה הפופולרית בעבר אשר אפשרו שליחת הודעות מזויפות לאפליקציה.
