צ'קפוינט חשפה פרצת אבטחה קריטית בווטסאפ
גרסת הדפדפן של אפליקציית הצ'ט חשופה לפריצה בשיטה פשוטה להפליא - מה שעשוי לאיים על 200 מיליון משתמשי הגרסה. ווטסאפ קיבלה את המידע ותיקנה את התקלה, אך משתמשים רבים היו חשופים אליה
15:3208.09.15
ענקית הסייבר הישראלית צ'ק פוינט הודיעה היום (ג') כי איתרה פריצת אבטחה חמורה באפליקציית ווטסאפ, שיכולה להשפיע על מאות מיליוני משתמשים. באופן ספציפי, היא מאפשרת להאקרים להשתלט על מחשבים אישיים המשתמשים בשירות הרשת של ווטסאפ על ידי שליחת קובץ של אנשי קשר הכולל תוכנה זדונית.
חשופה. ווטסאפ צילום: בלומברג
קראו עוד בכלכליסט:
- ווטסאפ הגיעה ל-900 מיליון משתמשים קבועים
- Glide: הווידאו צ'ט שווטסאפ לא הצליחה להיות
- אפליקציית הרשת של ווטסאפ תומכת סוף סוף גם באייפון
חשופה. ווטסאפ צילום: בלומברג לפני מספר שבועות גילה כסיף דקל, חוקר אבטחה בצ'קפוינט, שהאקרים יכולים לשלוח למשתמשים קובץ אנשי קשר (קובץ vCard). בעוד שהדבר לא יכול לפגוע במשתמש באפליקציית המובייל, האקרים יכולים להשתיל תכנים זדוניים בתוך קובץ ה-vCard שמופעל אוטומטית עם קבלת קובץ איש הקשר בגרסת הדפדפן. באופן ספציפי, ווטסאפ לא בדקה את תוכן קובץ ה-vCard כך שהיה ניתן לשתול פקודות בתוך שורת המידע של שם המשתמש.
וירוסים בקלי קלות
הנזק האפשרי מהפירצה הזאת הוא משמעותי, משום שכל גולש יכול להשתמש בה בקלות וליצור התקפה עם וירוס טרויאני, ללא צורך בידע מתקדם או כלי פריצה. איך? פשוט על ידי יצירת איש קשר חדש והשתלת פקודות לתוך השורה של שם המשתמש.
חמור מכך, צ'קפוינט גם מצאה שווטסאפ כלל אינה בודקת את הפורמט והמבנה של קובץ ה-vCard, כך שניתן בתיאוריה לשנות קובץ תוכנה EXE קיים לשם הקובץ המתאים, ולשלוח אותו למשתמש אחר כאילו היה מדובר בקובץ איש קשר. המשתמש שמקבל את הקובץ יכול ללחוץ על הכפתור להורדה והפתיחה של התוכנה, בלי לדעת שמדובר בעצם בקובץ EXE ולא באיש קשר.
צ'קפוינט דיווחה לפייסבוק, בעלת ווטסאפ, על הפירצה ב-21 לאוגוסט והיא תוקנה בתוך מספר ימים. כל המשתמשים המריצים את גרסה 0.1.4481 ומעלה בטוחים. ואולם, למי שלא נוהג לכבות את המחשב שלו או לרענן לשוניות דפדפן, נמליץ להפעיל מחדש. זאת, כדי שגרסת אפליקציית הרשת של ווטסאפ שתעלה תהיה מעודכנת, ללא פרצת האבטחה הבעייתית.
