הודעות מזוייפות: צ'ק פוינט חשפה חולשת אבטחה בוואטסאפ
חברת האבטחה הישראלית מצאה פרצה בתשתית אפליקציית המסרים הפופולרית, המאפשרת לזייף הודעות בשיחות פרטיות ובקבוצות, ולהתחזות לאחרים. "אנשים מקבלים הודעות דרמטיות בוואטסאפ וצריכים לחשוב פעמיים אם הן אמיתיות"
תארו לכם שאפשר לכתוב בשמכם הודעות וואטסאפ, ולהעביר אותן בשיחות פרטיות ובקבוצות: זו המשמעות של חולשת האבטחה שחשפה חברת צ'ק פוינט הישראלית באפליקציית המסרים הפופולרית ביותר בעולם. המשמעות של החולשה בתשתית האפליקציה, היא שהאקרים יכולים להתחזות למשתמשי וואטסאפ, לכתוב בשמם הודעות ולהפיץ אותן. בנוסף, אפשר לייעד הודעות למשתמש מסויים בתוך קבוצה, כך שרק הוא רואה אותן ומגיב עליהן מול יתר המשתמשים.
"המחקר שלנו התחיל בניסיון הבנה של הפרוטוקול של ההודעות של וואטסאפ", מסביר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, בשיחה עם ynet. "אחרי שהתחלנו להבין את כל הפרוטוקול ולראות מה קורה בתוך התקשורת, גילינו יכולת של כל אדם לזייף הודעות בשם מישהו אחר דרך קבוצות או דרך שיחות פרטיות. החלטו מיד לפנות לוואטסאפ ולעבוד יחד איתם על הבעיות".
וואטסאפ היא אפליקציית המסרים הפופולרית ביותר בעולם, עם בסיס של למעלה מ-1.5 מיליארד משתמשים. היא משרתת תעבורה של כ-56 מיליארד הודעות ביום, ופעילות בה למעלה ממיליארד קבוצות. לטענת ואנונו, "וואטסאפ היא כבר מזמן לא סתם אפליקציה, אלא תשתית שמשרתת מוסדות, ארגונים, בתי ספר ותעשייה. לכן מרגע שנחשפה החולשה ראינו לנכון לדווח עליה לציבור. אנשים היום מקבלים הודעות דרמטיות בוואטסאפ, והם צריכים לחשוב פעמיים אם להתייחס אליהן ברצינות ולהעביר אותן הלאה".
וואטסאפ מנסה להתמודד עם הפצה של פייק ניוז באמצעותה, שמובילה בחודשים האחרונים לתוצאות הרסניות - בעיקר בהודו, שם כבר דווחו מקרים של לינץ' באנשים בעקבות הודעות שקריות. בין היתר, הודיעה אפליקציית המסרים כי היא החלה לסמן הודעות שהועברו, במטרה לגרום למשתמשים להתנהל באחריות עם המידע שהם מקבלים על גבי וואטסאפ. ואנונו מוסיף, כי תכתובות וואטסאפ משמשות היום כעדויות לכל דבר, גם בתקשורת ובבתי המשפט, ולכן לחולשת האבטחה שנחשפה יש השלכות משמעותיות.
מוואטסאפ נמסר בתגובה: "בחנו לעומק את הנושא, ומדובר במקבילה של שינוי הודעת דואר אלקטרוני כך שייכתב בה משהו שהמשתמש מעולם לא כתב. לטענה אין כל קשר להצפנת קצה-לקצה, המבטיחה כי רק השולח והמקבל רשאים לקרוא את תוכן ההודעות המועברות בוואטסאפ. אנו לוקחים את אתגר המידע השגוי ברצינות רבה, ולאחרונה אף הצבנו מגבלה על העברת הודעות, הוספנו תגית לסימון הודעות שהועברו ואף יצרנו שינויים בצ'אטים קבוצתיים. אנו מסירים חשבונות המנסים לבצע שינויים בוואטסאפ בצורה של הודעות ספאם, ואנו פועלים עם נציגי החברה האזרחית במספר מדינות, במטרה לחנך משתמשים בנוגע לפייק ניוז ולמתיחות".
