צ'ק פוינט: בעיית אבטחה חמורה בוואטסאפ ובטלגרם
בחברה אמרו כי הפירצה בפלטפורמת ה-Web של שירותי ההודעות הפופולריים - וואטסאפ וטלגרם - איפשרה להאקרים להשתלט על חשבונות של מאות מיליוני משתמשים בעולם, ולקבל גישה מלאה להודעות, תמונות, סרטונים ואנשי קשר. לטענת צ'ק פוינט, לאחר שחשפו את המידע בפני שתי החברות - הבעיה טופלה
משתמשים בוואטסאפ או בטלגרם במחשב? ייתכן שמישהו ראה את ההודעות שלכם: חברת צ'ק פוינט חשפה היום (ד') חולשת אבטחה חדשה בפלטפורמות ה-Web של שניים משירותי ההודעות הנפוצים ביותר בעולם, וואטסאפ וטלגרם. לפי חוקרי האבטחה של צ'ק פוינט, ניצול של חולשת האבטחה עלול היה לאפשר להאקרים להשתלט על חשבונות של משתמשים בתוך שניות, ולהשיג שליטה מלאה בתמונות, הודעות, סרטונים ואנשי קשר. גרסאות ה-Web של שתי החברות מסונכרנות באופן מלא עם אפליקציית המובייל, ומכילות את כל המידע והיסטוריית השיחות של המשתמשים.
"חולשת האבטחה שחשפנו העמידה בסכנה מאות מיליוני משתמשים של וואטסאפ ובטלגרם ברחבי העולם", אמר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט. "באמצעות שליחה של תמונה שנראית למשתמש תמימה, האקרים עלולים היו להשתלט על החשבונות, להוריד את כל התמונות והקבצים של המשתמשים ולשלוח בשמם הודעות".
בצ'ק פוינט הסבירו כי חולשת האבטחה איפשרה לתוקפים לשלוח למשתמשים תמונה שבה מוסתר קוד זדוני. כאשר המשתמש היה לוחץ על התמונה כדי לפתוח אותה, התוקף היה משיג שליטה מלאה בחשבון המשתמש. במצב כזה, התוקף יכול היה גם לשלוח את התמונה הזדונית לאנשי הקשר של המשתמש, וכך להשתלט על חשבונות נוספים.
צ'ק פוינט חשפה את המידע לצוותי אבטחת המידע של וואטסאפ וטלגרם ביום רביעי בשבוע שעבר. לדבריהם, בוואטסאפ אישרו את הממצא ובתוך 24 שעות תיקנו את הפירצה לכל משתמשי ה-Web בעולם.
עוד אמרו בחברה הישראלית כי בטלגרם אישרו גם הם את הפרטים ותיקנו את החולשה כמה ימים לאחר מכן. כמו כן, בטלגרם ישנה אפשרות לנהל שיחות מוצפנות שפעילות רק בגרסת הסלולר ולא בפלטפורמת ה-web - ואלו נותרו מוגנות מהפירצה.
"לשמחתנו, שתי החברות הגיבו במהירות ובאחריות לתיקון החולשה", אמר ואנונו. בצ'ק פוינט אמרו כי למשתמשי וואטסאפ וטלגרם שרוצים לוודא כי הם משתמשים בגרסה העדכנית ביותר לאחר התיקון, מומלץ להפעיל מחדש את הדפדפן.
אז מה הייתה הפירצה? בצ'ק פוינט הסבירו כי וואטסאפ וטלגרם משתמשות בהצפנה מקצה לקצה (end-to-end encryption) כאמצעי אבטחה, שנועד להבטיח כי רק שני הצדדים שמתקשרים זה עם זה חשופים להודעות, ולא שום גורם אחר בתווך. חוקרי צ'ק פוינט - ערן וקנין, רומן זאיקין ודקלה ברדה - מצאו כי דווקא אמצעי זה של הצפנה היה המקור לחולשת האבטחה; כיוון שההודעות מוצפנות ברגע השליחה, טלגרם וואטסאפ לא היו חשופות לתוכן ולסוג הקובץ היוצא ועל כן לא יכולות היו לחסום תכנים וקבצים זדוניים. כעת לאחר תיקון החולשה, סוג הקובץ הנשלח ייבחן על ידי החברות עוד לפני ההצפנה.
דובר מטעם וואטסאפ מסר: "אנחנו בונים את וואטסאפ במטרה לשמור על אנשים ועל המידע שלהם מאובטח. כאשר צ'ק פוינט דיווחה על הנושא, טיפלנו בו תוך יום ושחררנו עדכון לוואטסאפ עבור האינטרנט. כדי לוודא שימוש בגירסה האחרונה, יש להפעיל מחדש את הדפדפן".