משתמשים בוואטסאפ באנדרואיד? עדכנו מיד גרסה בחנות האפליקציה
03.10.19 / 15:59
חולשת אבטחה שהתגלתה בחודש שעבר ונחשפה ביממה האחרונה אפשרה לתוקפים לשלוח למשתמשים GIF זדוני ובאמצעותו לקבל גישה לקבצים ולהודעות שלהם באפליקציה.
וואטסאפ תיקנה את החולשה ולא ידוע אם נעשה בה שימוש לרעה.
החולשה נחשפה אמש על-ידי חוקר אנונימי מסינגפור שמשתמש בכינוי Awakened. עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, הסביר בשיחה עם ynet כי היה ניתן לנצל אותה בשתי דרכים:
שליחת גיף זדוני למשתמש בוואטסאפ והפעלתו ברגע שהמשתמש פתח את גלריית המדיה בצ'ט שבו קיבל את הקובץ הנגוע.
חשיפה לגיף הנגוע באמצעות גלריית הגיפים של וואטסאפ (גם אם לא לחצתם על הגיף או שלחתם למישהו אחר)
ואנונו מסביר:
"חשוב להבין שבכל פעם שאני שולח לך הודעה, וידיאו, תמונה או גיף - מופעל מנוע שלוקח את המידע הזה ומציג לך אותו, החולשה נמצאה במנוע של הגיפים והיא איפשרה לתוקפים להוסיף קוד זדוני לתוך גיף. עבור מישהו שמתעסק בסייבר התקפי, זה לא מסובך.
וואטסאפ היא מטרה מועדפת מבחינת פושעי סייבר, בגלל המספר העצום של המשתמשים - יותר ממיליארד וחצי בני אדם. אם האקר רוצה לפרוץ לטלפון של אדם מסויים, וואטסאפ תהיה המקום להתחיל מכיוון שהיא נמצאת כמעט בכל סמארטפון. "יש שוק של מכירה וקנייה של נשקי סייבר. נשק כזה, שמצליח להריץ קוד על וואטסאפ, שווה סדר גודל של מיליון דולר".
מוואטסאפ נמסר כי דווח להם על חולשת האבטחה בחודש שעבר והיא טופלה: "אין לנו סיבה להאמין שמשתמשים הושפעו ממנה, אך כמובן שאנחנו עובדים כל הזמן על מנת לספק להם את ההגנה הטובה ביותר".