חולשת אבטחה בווטסאפ העמידה מיליוני חשבונות בסכנת השתלטות

חולשת אבטחה חדשה בפלטפורמות ה-Web של שניים משירותי ההודעות הנפוצים ביותר בעולם, ווטסאפ (WhatsApp) וטלגרם (Telegram) – נחשפה היום (ד') על ידי צ'ק פוינט (Check Point).

לפי חוקרי ענקית האבטחה הישראלית, ניצול של חולשת האבטחה עלול היה לאפשר להאקרים להשתלט על חשבונות של משתמשים בתוך שניות, ולהשיג שליטה מלאה בתמונות, הודעות, סרטונים ואנשי קשר. גרסאות ה-Web של שתי החברות מסונכרנות באופן מלא עם אפליקציית המובייל, ומכילות את כל המידע והיסטוריית השיחות של המשתמשים.

"חולשת האבטחה שחשפנו העמידה בסכנה מאות מיליוני משתמשים של ווטסאפ וטלגרם ברחבי העולם," אמר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט. "באמצעות שליחה של תמונה שנראית למשתמש תמימה, האקרים עלולים היו להשתלט על החשבונות, להוריד את כל התמונות והקבצים של המשתמשים, ולשלוח בשמם הודעות".

ווטסאפ

חולשת האבטחה אפשרה לתוקפים לשלוח למשתמשים תמונה שבה מוסתר קוד זדוני. כאשר המשתמש היה לוחץ על התמונה כדי לפתוח אותה, התוקף היה משיג שליטה מלאה בחשבון המשתמש. במצב כזה, התוקף יכול היה גם לשלוח את התמונה הזדונית לאנשי הקשר של המשתמש, וכך להשתלט על חשבונות נוספים.

צ'ק פוינט חשפה את המידע לצוותי אבטחת המידע של ווטסאפ וטלגרם ב-8 במרץ. בווטסאפ תיקנו את החולשה לאחר יממה, ובטלגרם תיקנו את החולשה כמה ימים לאחר מכן. ואנונו סיים באומרו כי "למשתמשי ווטסאפ וטלגרם שרוצים לוודא כי הם משתמשים בגרסה העדכנית ביותר לאחר התיקון – מומלץ להפעיל מחדש את הדפדפן".

טלגרם

ווטסאפ וטלגרם משתמשות בהצפנה מקצה לקצה כאמצעי אבטחה, שנועד להבטיח כי רק שני הצדדים שמתקשרים זה עם זה חשופים להודעות, ולא שום גורם אחר בתווך. חוקרי צ'ק פוינט מצאו כי דווקא אמצעי זה של הצפנה היה המקור לחולשת האבטחה. כיוון שההודעות מוצפנות ברגע השליחה, טלגרם ו-ווטסאפ לא היו חשופות לתוכן ולסוג הקובץ היוצא ועל כן לא יכולות היו לחסום תכנים וקבצים זדוניים. כעת לאחר תיקון החולשה, סוג הקובץ הנשלח ייבחן על ידי החברות עוד לפני ההצפנה.

ווטסאפ הוא שירות ההודעות הנפוץ בעולם כיום, עם יותר ממיליארד משתמשים. גרסת ה-Web של החברה זמינה בכל הדפדפנים. טלגרם היא אפליקציית הודעות מבוססת ענן עם יותר מ-100 מיליון משתמשים פעילים בחודש, ותעבורה של יותר מ-15 מיליארד הודעות ביום.