חדשות    

צ'ק פויינט חשפה פרצות בוואטסאפ המאפשרות מניפולציה בהודעות

iphone

כמעט כולנו משתמשים באפליקציית הוואטסאפ ובטוחים שמה שאנחנו כותבים עובר לצד השני ללא התערבות של גורם שלישי. אבל הביטחון שלנו באפליקציה עלול להתערער בעקבות מה שחשפו חוקרי הסייבר של צ'ק פויינט.

חוקרי הסייבר של חברת צ'ק פויינט הצליחו לחשוף פרצות באפליקציית הוואטסאפ המאפשרות להאקרים לשלוח הודעות מזוייפות, להתחזות למשתמשים אחרים ואף לחסום ממשתמשים את קבלתן של הודעות מסויימות.

החוקרים של צ'ק פוינט גילו כי תוקף יכול ליירט הודעה שנכתבה, לערוך אותה כרצונו, ולשלוח אותה עם תוכן שונה לחלוטין. בסרטון שבורסם ביוטיוב מדגימים בצ'ק פוינט כיצה הודעה על העלאה בשכר של 500$ הפכה להודעה על העלאה של 1500$.

אפשרות נוספת שהתגלתה היא אפשרות לשלוח הודעה לאחד מחברי קבוצה בוואטסאפ הנראית כאילו נשלחה לקבוצה כולה. חברי הקבוצה יראו במקרה כזה רק את תגובתו אבל לא ייראו את ההודעה עליה הוא מגיב.

עודד ואנונו, ראש מחלקת חולשות מוצרים בחברת צ'ק פוינט אשר איתרה את החולשות, אמר כי "הפופולריות האדירה של וואטסאפ בקרב צרכנים, עסקים וממשלות הופכת אותה ליעד מועדף עבור תוקפים שרואים בה הזדמנות אדירה לייצר תחבולות. כאחד מערוצי התכתובות המובילים בעולם, בתי משפט ברחבי העולם כבר הכירו בתכתובות בה כראייה קבילה בבתי משפט, וחולשות המאפשרות להטות את התכתובות הן בעלות פוטנציאל נזק אדיר להפצת מידע שגוי".

ואנונו הוסיף כי "אנו מאמינים שישנה חשיבות עליונה בטיפול בחולשות מעין אלו באפליקציה שכל כך מזוהה ומשפיעה על התקשורת שמתקיימת בין למעלה ממיליארד בני אדם בכל העולם, אחרת תוקפים יכולים לנצל אותן ולהשפיע באופן ממשי על תקשורת בלתי אמצעית שמתקיימת בלמעלה ממיליארד קבוצות שיחה".

מוואטסאפ נמסר: "בחנו בתשומת לב רבה את הנושא והוא מקביל לזיוף דוא"ל. מה שצ'ק פוינט גילתה אינו קשור באבטחה שמבטיחה שרק השולח והנמען יכולים לקרוא את ההודעה. מתייחסים ברצינות לבעיות, ולאחרונה הוספנו מגבלה על כמות התוכן שניתן להעביר לנמענים נוספים, הוספנו תווית להודעות מועברות לנמענים נוספים, וערכנו סדרה של שינויים בצ'אט הקבוצתי. אנחנו יכולים לחסום חשבונות שמנסים לשנות הודעות ולשלוח ספאם, ואנחנו עובדים עם החברה האזרחית במספר מדינות כדי לחנך אנשים לגבי הודעות פייק והונאות".