צ'ק פוינט חשפה שתי חולשות אבטחה בווטסאפ וטלגרם
החולשות אפשרו להאקרים להשתלט על חשבונות של המשתמשים. השיטה כללה שליחת תמונה שהכילה קוד זדוני סמוי, הפרצות טופלו על ידי שתי החברות
חברת צ'ק פוינט הודיעה היום (ד') שחשפה חולשות אבטחה בשניים משירותי ההודעות הנפוצים בעולם – ווטסאפ וטלגרם. ניצול של חולשת האבטחה עלול היה לאפשר להאקרים להשתלט על חשבונות של משתמשים בתוך שניות, ולהשיג שליטה מלאה בתמונות, הודעות, סרטונים ואנשי קשר.
- מריוס נכט שלא תכירו
- אקזיט הסייבר של יוצאי צ'ק פוינט: לייטסייבר נמכרת לפאלו אלטו נטוורקס ב-130 מיליון דולר
- יו"ר צ'ק פוינט מריוס נכט מכר כ-5% ממניות החברה ב-800 מיליון דולר
גרסאות ה-Web של שתי החברות מסונכרנות באופן מלא עם אפליקציית המובייל, ומכילות את כל המידע והיסטוריית השיחות של המשתמשים. "באמצעות שליחה של תמונה שנראית למשתמש תמימה, האקרים עלולים היו להשתלט על החשבונות, להוריד את כל התמונות והקבצים של המשתמשים, ולשלוח בשמם הודעות" אמר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט.
צ'ק פוינט העבירה את המידע לצוותי האבטחה של ווטסאפ וטלגרם ב-8 במרץ ומציינת כי בווטסאפ תקנו את הפרצה תוך יום. בטלגרם אישרו את הפרטים ותיקנו את החולשה כמה ימים לאחר מכן, ב-13 במרץ.
ווטסאפ וטלגרם משתמשות בהצפנה מקצה לקצה (end-to-end encryption) כאמצעי אבטחה, שנועד להבטיח כי רק שני הצדדים שמתקשרים זה עם זה חשופים להודעות, ולא שום גורם אחר בתווך.
חוקרי צ'ק פוינט (ערן וקנין, רומן זאיקין ודקלה ברדה) מצאו כי דווקא אמצעי זה של הצפנה היה המקור לחולשת האבטחה; כיוון שההודעות מוצפנות ברגע השליחה, טלגרם ווטסאפ לא היו חשופות לתוכן ולסוג הקובץ היוצא ועל כן לא יכולות היו לחסום תכנים וקבצים זדוניים. כעת לאחר תיקון החולשה, סוג הקובץ הנשלח ייבחן על ידי החברות עוד לפני ההצפנה.