ווטסאפ סירבה לתקן את הפגיעויות שצ'ק פוינט חשפה

ענקית אבטחת סייבר חושפת פגיעויות רציניות בווטסאפ – וזו מסרבת לתקן.

אתמול (ד') פורסם כי חוקרי צ'ק פוינט חשפו פגיעויות באפליקציית המסרים המידיים, המאפשרות לתוקפים להתערב ולכוון תכתובות בה. על פי דיקלה ברדה ורומן זאיקין, חוקרי סייבר מצ'ק פוינט, הפגיעויות הללו מעניקות כוח משמעותי ביותר ליצירת מניפולציות בתוך הקבוצה, ועל ידי כך להפיץ מידע שגוי ולהטות את השיחה על פי צרכיהם – וכל זאת בלא להתגלות.

לפי ענקית הסייבר, חשיפת הפגיעויות מאפשרת לתוקפים שלוש דרכי פעולה מרכזיות: היכולת לערוך מחדש את הטקסט הכתוב בהודעת תגובה בשיחה ולכתוב בה כל טקסט העולה על רוחם, משמע – לשים מילים אחרות בפיו של אדם; היכולת לשנות את שמו של המגיב בקבוצה לכל שם אותו הם בוחרים ובכך להתחזות לאדם אחר; והיכולת לשלוח הודעה פרטית – טקסט, תמונה או וידיאו – לאחד מחברי הקבוצה באופן שנראה כאילו נשלח לכלל חבריה. היה והנמען מגיב להודעה זו, כלל חברי הקבוצה רואים אותה. כך, מתאפשרת לתוקפים יכולת לבחור איזו תגובה יראה כל אחד מחברי הקבוצה בנפרד.

הפרקטיקה הנהוגה במקרים שכאלה היא שבטרם הדיווח לתקשורת על הגילוי של פגיעויות, מקבלת החברה בה נמצא הליקוי פרק זמן של "חסד" לתיקון הפגם – בדרך כלל כמה ימים. לאנשים ומחשבים נודע כי במקרה זה פנו חוקרי צ'ק פוינט לאנשי הפיתוח של ווטסאפ, אולם אלה סירבו לתקן את הפגיעות. בחלוף יותר משבוע מאז הפנייה, והסירוב – החוקרים של צ'ק פוינט החליטו לפרסם את דבר הפגיעות. זאת, לאחר התלבטות האם לעשות זאת או לשתף פעולה עם ההסתרה.

ווטסאפ הודתה כי אכן, יש אפשרות לבצע מניפולציה ברכיב של הציטוט, אך החברה חלקה על כך שמדובר בפגם. מהאפליקציה, שבבעלות פייסבוק, נמסר כי המערכת פועלת כפי שהיא תוכננה שתפעל, וכי באיזון שבין מניעת הונאה שכזו, על ידי אימות כל הודעה על הפלטפורמה שלה, לפרטיות המשתמשים היא מצאה כי "ייווצר סיכון ענק לפרטיות או שהדבר יביא להורדת השירות". החברה אמרה שהיא פועלת על מנת למצוא ולהסיר כל מי שמבצע פעולת הונאה שכזו.

"בדקנו את הנושא הזה בקפידה והפגיעות שוות ערך לשינוי כתובת מייל", אמר קארל ווג, דובר ווטסאפ, "מה שצ'ק פוינט גילתה לא קשור כלל לאבטחה, אותה אנחנו מכנים הצפנה מקצה לקצה – דבר המבטיח שרק המוען והנמען יכולים לקרוא הודעות. החברה לוקחת את האתגר של מידע שגוי ברצינות".