חברת האבטחה צ'ק פוינט חשפה היום (רביעי) חולשת אבטחה חדשה בשניים משירותי ההודעות הנפוצים ביותר בעולם, וואטסאפ וטלגרם. לדברי חוקרי האבטחה של החברה, ניצול של חולשת האבטחה עלול היה לאפשר להאקרים להשתלט על חשבונות של משתמשים בתוך שניות, ולהשיג שליטה מלאה בתמונות, הודעות, סרטונים ואנשי קשר. התקלה הזו תוקנה בשתי הפלטפורמות בתוך זמן קצר.
לסיפורים הכי מעניינים והכי חמים – הצטרפו לפייסבוק שלנו
מדובר בחולשה בגרסאות ה-Web של שתי החברות, שמסונכרנות באופן מלא עם אפליקציית המובייל, ומכילות את כל המידע והיסטוריית השיחות של המשתמשים.
"חולשת האבטחה שחשפנו העמידה בסכנה מאות מיליוני משתמשים של הפלטפורמות ברחבי העולם", אמר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט. "באמצעות שליחה של תמונה שנראית למשתמש תמימה, האקרים עלולים היו להשתלט על החשבונות, להוריד את כל התמונות והקבצים של המשתמשים, ולשלוח בשמם הודעות".
חולשת האבטחה אפשרה לתוקפים לשלוח למשתמשים תמונה שבה מוסתר קוד זדוני. כשהמשתמש היה לוחץ על התמונה כדי לפתוח אותה, התוקף היה משיג שליטה מלאה בחשבון. במצב כזה, התוקף יכול היה גם לשלוח את התמונה הזדונית לאנשי הקשר של המשתמש, וכך להשתלט על חשבונות נוספים.
התקלה תוקנה תוך יממה
המידע שהשיגה צ'ק פוינט הועבר לפני שבוע לווטסאפ וטלגרם, שם תיקנו את התקלה בתוך יממה לכל משתמשי פלטפורמות ה-WEB בעולם. "לשמחתנו, שתי החברות הגיבו במהירות ובאחריות לתיקון החולשה", אמר ואנונו. למשתמשי ווטסאפ וטלגרם שרוצים לוודא כי הם משתמשים בגרסה העדכנית ביותר לאחר התיקון, מומלץ להפעיל מחדש את הדפדפן.
ווטסאפ וטלגרם משתמשות בהצפנה מקצה לקצה (end-to-end encryption) כאמצעי אבטחה, שנועד להבטיח כי רק שני הצדדים שמתקשרים זה עם זה חשופים להודעות, ולא שום גורם אחר בתווך. חוקרי צ'ק פוינט ערן וקנין, רומן זאיקין ודקלה ברדה מצאו כי דווקא אמצעי זה של הצפנה היה המקור לחולשת האבטחה. כיוון שההודעות מוצפנות ברגע השליחה, טלגרם ווטסאפ לא היו חשופות לתוכן ולסוג הקובץ היוצא ועל כן לא יכולות היו לחסום תכנים וקבצים זדוניים. כעת, לאחר תיקון החולשה, סוג הקובץ הנשלח ייבחן על ידי החברות עוד לפני ההצפנה.
ווטסאפ הוא שירות ההודעות הנפוץ בעולם כיום, עם יותר ממיליארד משתמשים. גרסת ה-Web של החברה זמינה בכל הדפדפנים. טלגרם היא אפליקציית הודעות מבוססת ענן עם יותר מ-100 מיליון משתמשים פעילים בחודש, ותעבורה של יותר מ-15 מיליארד הודעות ביום.