חולשת אבטחה בוואטסאפ איפשרה לגורמים זדוניים להחדיר לקבוצות הודעה שמובילה לקריסת האפליקציה. כדי להפעיל את האפליקציה מחדש היו צריכים כל החברים בקבוצה להסיר אותה, להתקין מחדש ולמחוק את כל הנתונים בצ'ט הקבוצתי. החולשה אותרה על-ידי חוקרי האבטחה של חברת צ'ק פוינט, שהעבירו את המידע לידי וואטסאפ שתיקנה אותה תוך ימים ספורים. כעת מומלץ לוודא שהאפליקציה שמותקנת אצלכם מעודכנת לגרסה האחרונה.
צפו: כך פעלה חולשת האבטחה בוואטסאפ
חולשת האבטחה התגלתה על-ידי חוקרי הסייבר דיקלה ברדה, רומן זאיקין ויערה שריקי - ולא ברור אם נעשה בה שימוש לרעה. עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, מסביר כי ניתן היה להחדיר את ההודעה הזדונית לקבוצות באמצעות גרסת הדסקטופ של האפליקציה - וואטסאפ ווב. "התוקף היה צריך לעשות איזושהי מניפולציה על אחד הפרמטרים בפרוטוקול התקשורת של וואטסאפ", מסביר ואנונו, "וכך להחדיר לקבוצה הודעה שנראית תמימה אך בפועל משמידה לחלוטין את האפליקציה".
"התוצאה היא שהאפליקציה קורסת ללא הפסקה, עד שאתה מסיר אותה מהמכשיר. אם לא גיבית את הנתונים שלך בענן - כל המידע יימחק. במקרה שכן היה לך גיבוי, אם היית משחזר את המידע, ההודעה הזדונית הייתה גורמת שוב לקריסה. מה שנותר לעשות זה לזהות את הבעיה, למחוק את הקבוצה הבעייתית ולאבד את כל המידע שקשור אליה". בפועל, ספק אם רוב האנשים היו מבינים שהודעה מסויימת באחת הקבוצות היא זו שגורמת לאפליקציה שלהם לקרוס.
קבוצה בוואטסאפ יכולה לכלול עד 256 איש וכיום ניתן לצרף משתמשים גם בלי לקבל מהם אישור. כך, ניתן היה לכאורה ליצור קבוצה של פעילים פוליטיים המזוהים עם מפלגה מסויימת, לשלוח את ההודעה הזדונית - ולנטרל להם את הוואטסאפ ביום הבחירות. ואנונו מתאר תרחיש נוסף, שבו הקורבנות מותקפים באמצעות לינק זדוני בהודעת SMS, לאחר שהוואטסאפ שלהם נוטרל. ניתן היה גם להשתמש בבוטים כדי לייצר קבוצות רבות, וכך להפיל את הוואטסאפ של מאות אלפי או אפילו מיליון משתמשים. "כל מה שצריך זה מספרי טלפון, שקל מאוד להשיג אותם", אומר ואנונו.
וואטסאפ: החולשה תוקנה בספטמבר
בוואטסאפ בירכו על איתור החולשה. "וואטסאפ מלאת הוקרה לקהילה הטכנולוגית שמסייעת לה לשמור על אבטחה חזקה באפליקציה עבור כל משתמשיה ברחבי העולם", מסר אהרן קרט, מהנדס תוכנה בחברה. "דיווח אחראי מסוג זה של צ'ק פוינט אפשר לנו לפתור את הנושא במהירות עוד באמצע ספטמבר. כמו כן, הוספנו אמצעי בקרה נוספים שמטרתם למנוע מאנשים להיות מצורפים לקבוצות שהם לא מעוניינים להיות בהן, וזאת כדי להימנע מתקשורת עם גורמים בלתי רצויים".
עם יותר מ-1.5 מיליארד משתמשים גלובליים, וואטסאפ היא אפליקציית המסרים הפופולרית ביותר בעולם. העובדה שהיא מותקנת על כל כך הרבה מכשירים הופכת אותה למטרה מועדפת על האקרים, שפועלים בכל המרץ כדי לאתר ולמכור חולשות אבטחה באפליקציה. לדברי ואנונו, תג מחיר של חולשת אבטחה בוואטסאפ מתחיל במיליון דולר.
