$
אינטרנט

חור בווטסאפ: האקרים יכולים לשנות הודעות, לבצע מניפולציות בקלות

חוקרי צ'ק פוינט איתרו שורת ליקויי אבטחה באפליקציית הצ'ט הפופולרית, שמאפשרים לפושעי סייבר להתחזות בקלות למשתמשים בקבוצות, לערוך הודעות שנשלחו מהם, להציג מסרים אישיים כקבוצתיים ועוד. מדובר באיום חמור, שכן הודעות ווטסאפ קבילות כראיות משפטיות. ווטסאפ, מצדה, מתכחשת לסיכונים

רפאל קאהאן 12:1908.08.18

אפליקציית ווטסאפ הפופולרית חשופה לפרצות אבטחת מידע חמורות - כך חשפה אתמול חברת צ'ק פוינט. מחקר שביצעה גילה שהאקרים יכולים לשנות תוכן של הודעות, לזייף אותן ולהתחזות למשתמשים אחרים.

 

 

הליקוי הראשון שאותר מאפשר לערוך טקסט כתוב בהודעות תגובה בשיחה, מה שמהווה בעייה משפטית: הודעות ווטסאפ כבר התקבלו בעבר כחומר ראיות קביל בידי בתי דין רבים בעולם. לדברי החוקרים, אפשר לפברק כך אישור לעסקה, או לייצר תוכן מפליל שישפיע על מהלכי משפטים כשייחשף. הליקוי השני שמצאו החוקרים מאפשר לשנות את שמו של אדם המגיב בקבוצה ולהקל על התחזות - והאקרים יכולים לעשות זאת גם אם אינם חברים בקבוצה המותקפת. כך ניתן לסכסך בין חברי קבוצה, או לבצע תקיפות המבוססות על הנדסה חברתית - רכישת אמונו של מישהו כדי להעביר לו חומר נגוע ולקבל גישה למכשירו או למערכות רגישות.

 

איום אבטחה מהותי. ווטסאפ איום אבטחה מהותי. ווטסאפ צילום: שאטרסטוק

 

 

הליקוי השלישי מאפשר שליחת הודעה פרטית לחבר בקבוצה, באופן שייראה בעיניו כאילו הופץ לכל חברי הקבוצה כהודעה פומבית, אך אם יגיב הנמען, ייחשפו דבריו לעיני כל. האקרים יכולים גם לקבוע מי מחברי הקבוצה יוכל לראות את התגובה האמורה, מה שפותח פתח למניפולציות שונות.

   

פייסבוק החלה לאחרונה לנסות ולשנות את המודל העסקי של האפליקציה שלה. היא השיקה את ווטסאפ לעסקים שתשמש כערוץ תקשורת מסחרי לכל דבר. היכולת לבצע מניפולציות כגון אלה שנצפו בצ'ק פוינט הופכת אותה לתשתית מסוכנת עבור עסקים וארגונים. היכולת להתחזות לשולח או לשלוח הודעות מזויפות יכולה להעמיד את הצרכנים בסכנה אמיתית של הונאות, פריצות, הטיית דעת קהל ותעמולה זרה.

 

ווטסאפ לא מבינה מה כל כך מסוכן

 

צ'ק פוינט פנתה לווטסאפ ועדכנה אותה בממצאיה, אך ווטסאפ לא ראתה בהם סיכון. "מבחינתנו מדובר בסכנה אמיתית", אמר ל"כלכליסט" עודד ואנונו, ראש מחלקת חולשות מוצרים בחברה. "רק לאחרונה התברר שהודעות מזויפות הביאו למוות של משתשמשים בהודו, אני לא מבין איך הם מגיבים כך. הפופולריות האדירה של ווטסאפ בקרב צרכנים, עסקים וממשלות הופכת אותה ליעד מועדף עבור תוקפים שרואים בה הזדמנות אדירה לייצר תחבולות".

  

 

בווטסאפ טוענים שאין שום בעיה: החברה מסרה שבדקה היטב את הדיווח אך הליקויים אינם חמורים יותר מהאפשרות לזייף מייל, למשל. "לטענה אין שום קשר להצפנה שמאפשרת רק לשולח ולמקבל להיות חשופים לתוכן ההודעה", נמסר. עוד מסבירים בווטסאפ שהחברה לוקחת את אתגר הדיסיאינפורמציה באופן רציני ביותר והוסיפה סדרה של אמצעים כדי להיאבק בתופעה. בצ'ק פוינט דוחים את הטענות: "ההשוואה בין מיילים להודעות באפליקציה אינה נכונה", הוסיף ואנונו, "במיילים יש אפשרות להשוות את ההודעות המקוריות שנשלחו שמועתקות לתיבת דואר יוצא למשל. באפליקציה מדובר בפיד של הודעות שאינן כוללות את המקור".
בטל שלח
    לכל התגובות
    x