תוכנות המסרים ווטסאפ וטלגרם העמידו מאות מיליוני חשבונות בסכנת השתלטות

חברת האבטחה צ’ק פוינט חשפה כי שתי תוכנות המסרים הפופולריות, WhatsApp ו-Telegram, העמידו מאות מיליוני חשבונות בסכנת השתלטות בעקבות חולשת אבטחה חמורה.

חולשת האבטחה, אשר התגלתה בפלטפורמת ה-Web של שני שירותי ההודעות הפופולריים ווטסאפ וטלגרם, אפשרה להאקרים להשתלט על חשבונות של מאות מיליוני משתמשים בעולם, ולקבל גישה מלאה להודעות, תמונות, סרטונים ואנשי קשר. אותה פרצה אפשרה לתוקפים לשלוח למשתמשים תמונה הטומנת בחובה קוד זדוני מוסתר. כאשר המשתמש היה לוחץ על התמונה כדי לפתוח אותה, התוקף היה משיג שליטה מלאה בחשבון המשתמש הכוללת את היכולת להוריד את כל התמונות והקבצים של המשתמשים, ולשלוח בשמם הודעות. לאחר שקיבל שליטה מלאה, התוקף יכול היה להפיץ את התמונה הזדונית לאנשי הקשר של המשתמש, וכך להרחיב את פעולתו למשתמשים נוספים.

צ’ק פוינט שיתפה את הגילוי עם צוותי אבטחת המידע של Whatsapp ו- Telegram ב-8 במרס, 2017. ב-Whatsapp אישרו את הממצא ובתוך יום (9 במרס 2017) תיקנו את החולשה לכל משתמשי ה-Web בעולם ואף בטלגרם אישרו את הפרטים ותיקנו את החולשה כמה ימים לאחר מכן. “לשמחתנו, שתי החברות הגיבו במהירות ובאחריות לתיקון החולשה”, אמר עודד ואנונו, ראש מחקר חולשות מוצרים בצ’ק פוינט.

למשתמשי ווטסאפ וטלגרם שרוצים לוודא כי הם משתמשים בגרסה העדכנית ביותר לאחר התיקון, מומלץ להפעיל מחדש את הדפדפן.

שתי אפליקציות המסרים הפופולריות משתמשות בהצפנה מקצה לקצה (end-to-end encryption) כאמצעי אבטחה, מה שלמעשה נועד להבטיח כי רק הצדדים שמתקשרים זה עם זה חשופים להודעות, ולא שום גורם אחר בתווך. אך למעשה התברר שזו הייתה גם נקודת החולשה שלהן, כיוון שההודעות מוצפנות ברגע השליחה, מה שמונע מטלגרם ו-ווטסאפ לנטר את התוכן וסוג הקובץ היוצא ועל כן אין באפשרותן לחסום תכנים וקבצים זדוניים. כעת לאחר תיקון חולשת האבטחה, סוג הקובץ הנשלח ייבחן על ידי החברות עוד לפני ההצפנה.

Whatsapp הוא שירות ההודעות הנפוץ בעולם כיום, עם יותר ממיליארד משתמשים. גרסת ה-Web של החברה זמינה בכל הדפדפנים. טלגרם היא אפליקציית מסרים מקבילה המבוססת ענן עם יותר מ-100 מיליון משתמשים פעילים בחודש, ותעבורה של יותר מ-15 מיליארד הודעות ביום.