צ'ק פוינט: פרצת אבטחה חמורה בוואטסאפ

חולשות "MaliciousCard" שהתגלו בפלטפורמת WhatsApp אפשרו להאקרים לתקוף מאות מיליוני משתמשים. חברת האבטחה צ'ק פוינט התריעה בפני חברת WhatsApp על חולשות בממשק האינטרנטי שלה לדפדפן ב-21 לאוגוסט. כך הודיעה הערב (יום ג') החברה הישראלית.

הממשק WhatsApp Web הוא הרחבה מבוססת-דפדפן של האפליקציה WhatsApp בטלפון. אפליקציה אינטרנטית זו משקפת את כל ההודעות שנשלחו ושהתקבלו ומסנכרנת באופן מלא בין הטלפון והמחשב השולחני, על מנת לאפשר למשתמש לראות את כל ההודעות בכל אחד מהמכשירים.

כסיף דקל, חוקר אבטחה בצ'ק פוינט, גילה לאחרונה נקודות תורפה משמעותיות אשר מנצלות לרעה את הלוגיקה של WhatsApp Web ומאפשרות להאקרים לגרום למשתמשים תמימים להפעיל קוד זדוני שירוץ על המחשב שלהם באופן מתוחכם. כל מה שעל תוקף זדוני לעשות על מנת לנצל את נקודת התורפה הוא לשלוח למשתמש הודעת "איש קשר" ( vCard) תמימה למראה אשר מכילה קוד זדוני. עם פתיחתה, מה שאמור היה להיות הודעת איש קשר תמימה מתגלה כקובץ הפעלה אשר יכול לשמש להפצת תוכנות זדוניות כגון סוסים טרוייאנים, רוגלות ונוזקות אחרות.

(צילום: shutterstock)

"לשמחתנו פעלה WhatsApp במהירות ובאחריות ויישמה אמצעים ראשוניים לצמצום הסיכון לניצול לרעה של בעיה זו בממשק האינטרנטי", אמר עודד ואנונו, מנהל קבוצת מחק

ר אבטחה בחברת צ'ק פוינט. "אנו משבחים את חברת WhatsApp על תגובתה המהירה ומקווים שחברות נוספות יטפלו בבעיות אבטחה באופן מקצועי שכזה". 
 

 האפליקציה WhatsApp Web זמינה עבור רוב הפלטפורמות שנתמכות על ידי WhatsApp כולל סמארטפונים עם Android, iPhone (iOS), Windows Phone 8.x, BlackBerry, BB10 וכן Nokia. בחודש ספטמבר 2015 הכריזה WhatsApp כי הגיעה ל-900 מיליון משתמשים פעילים בחודש. לפי הערכה, לפחות 200 מיליון מהם משתמשים בממשק WhatsApp Web - על פי סטטיסטיקות תעבורה באינטרנט שזמינות לציבור.