וואטסאפ. לא מה שחשבתם

חוקרי חברת צ'ק פוינט גילו חולשות המאפשרות לתוקפים לבצע מניפולציות בתכתובות באפליקציית המסרים המובילה בעולם.

וואטסאפ. לא מה שחשבתם

חוקרי הסייבר של חברת צ'ק פוינט, דיקלה ברדה ורומן זאיקין, חשפו חולשות משמעותיות באפליקציה הפופולרית וואטסאפ המאפשרות לתוקפים להתערב ולכוון תכתובות באפליקציה.

חולשות אלו מעניקות כוח משמעותי ביותר של יצירת מניפולציות בתוך הקבוצה, ובכך להפיץ מידע שגוי ולהטות את השיחה על פי צרכיהם – מבלי להתגלות.

וואטסאפ נחשבת לאפליקציית המסרים המובילה בעולם ומשתמשים בה מדי יום למעלה ממילארד וחצי משתמשים. באפליקציה מועברות מדי יום כ-65 מיליארד הודעות וכן מתקיימות בה למעלה ממיליארד קבוצות המאפשרות שיחה בין מספר משתמשים בו זמנית.

שלוש מתודות הפעולה המרכזיות המתאפשרות הודות לחולשות שנמצאו הינן:

לערוך מחדש את הטקסט הכתוב בהודעת תגובה בשיחה ולכתוב בה כל טקסט העולה על רוחם של התוקפים (למעשה – לשים מילים אחרות בפיו של אדם).
לשנות את השם של האדם המגיב בקבוצה לכל שם אותו הם בוחרים (ובכך לאפשר התחזות לאדם אחר, גם אם לא חבר בקבוצה)
לשלוח הודעה פרטית (ובכלל זאת טקסט, תמונה ווידאו) לאחד מחברי הקבוצה באופן שנראה שנשלח לכלל חברי הקבוצה, אך בפועל רק חבר אחד אותו בוחרים התוקפים רואה את ההודעה הזו. במידה ואותו חבר קבוצה מגיב להודעה זו – כלל חברי הקבוצה רואים אותה (לתוקפים קיימת למעשה האפשרות לבחור איזו תגובה יראו כל אחד מחברי הקבוצה בנפרד).
עודד ואנונו, ראש מחלקת חולשות מוצרים בחברת צ'ק פוינט, אמר "הפופולריות האדירה של וואטסאפ בקרב צרכנים, עסקים וממשלות הופכת אותה ליעד מועדף עבור תוקפים שרואים בה הזדמנות אדירה לייצר תחבולות. כאחד מערוצי התכתובות המובילים בעולם, בתי משפט ברחבי העולם כבר הכירו בתכתובות בה כראייה קבילה בבתי משפט, וחולשות המאפשרות להטות את התכתובות הן בעלות פוטנציאל נזק אדיר להפצת מידע שגוי (פייק ניוז).

''אנו מאמינים שישנה חשיבות עליונה בטיפול בחולשות מעין אלו באפליקציה שכל כך מזוהה ומשפיעה על התקשורת שמתקיימת בין למעלה ממיליארד בני אדם בכל העולם, אחרת תוקפים יכולים לנצל אותן ולהשפיע באופן ממשי על תקשורת בלתי אמצעית שמתקיימת בלמעלה ממיליארד קבוצות שיחה", הוסיף ואנונו.