חוקרי צ'ק פוינט איתרו חולשת אבטחה שהקריסה את ווטסאפ
על פי ענקית אבטחת המידע הישראלית, החולשה חייבה את מחיקת התוכן בצ'אטים קבוצתיים ● היכולת להקריס את ווטסאפ - דרך שליחת לינק עם נוזקה לשיח קבוצתי
התגלתה חולשת אבטחה חדשה בווטסאפ. חוקרי הסייבר של צ'ק פוינט, דיקלה ברדה, רומן זאיקין ויערה שריקי, הובילו לתיקון החולשה באפליקציית המסרים המידיים הפופולרית.
לפי הודעת החברה, צ'ק פוינט דיווחה לווטסאפ על החולשה ב-28 באוגוסט השנה, וזו הכירה בחולשה ותיקנה אותה תוך ימים. עדכון התוכנה מספר 2.19.58 כולל את התיקון לחולשה האמורה.
המחקר במסגרתו החולשה אותרה התבסס על כלי שפיתחו חוקרי צ'ק פוינט. באמצעותו הם איתרו חולשות אבטחה באפליקציה הפופולרית בעבר, אשר אפשרו שליחת הודעות מזויפות לאפליקציה.
סרטון שהעלתה צ'ק פוינט על הממצא
החולשה, כך לפי החוקרים, אפשרה לגורמים זדוניים להחדיר לינק לצ'אטים קבוצתיים, לינק אשר הקריס את האפליקציה לכל חברי הצ'אט, באופן שמחייב את מחיקת האפליקציה, הורדתה מחדש ומחיקת כל הנתונים בצ'אט הקבוצתי.
לווטסאפ יש יותר מ-1.5 מיליארד משתמשים בכל העולם, והיא נחשבת לאפליקצית המסרים המיידיים המובילה בעולם. על גבי הפלטפורמה שלה נשלחות יותר מ-65 מיליארד הודעות מדי יום.
בכל צ'אט קבוצתי בווטסאפ יכולים להשתתף עד 256 חברים. באמצעות חולשה זו, כל חבר בקבוצה יכול לשלוח לינק זדוני דרך אתר האפליקציה WhatsApp Web.
עם שליחת ההודעה עם הלינק הזדוני לקבוצה, האפליקציה קורסת לכל חברי הצ'אט ונמנעת מהם כל גישה חוזרת אליה – אלא אם היא מוסרת לחלוטין והצ'אט המדובר נמחק. צ'ק פוינט דיווחה על החולשה לחברת ווטסאפ, וזו תיקנה את החולשה בתוך כמה ימים.
"תחמושת משמעותית לשחקנים זדוניים"
עודד ואנונו, ראש מחלקת חולשת מוצרים בצ'ק פוינט, אשר עמד בראש המחקר, אמר כי "ווטסאפ היא אחת מאפליקציות התקשורת המובילות בעולם לצרכנים, עסקים וממשלות. לכן, היכולת לעצור את השימוש בה ולהביא למחיקת הזיכרון בקבוצות השיחה היא תחמושת משמעותית עבור שחקנים זדוניים. אנו ממליצים לכל צרכני האפליקציה לוודא שהיא מעודכנת בעדכון התוכנה האחרון שלה. זאת, כדי להבטיח שהם מוגנים מחולשה זו. ווטסאפ הגיבה במהירות ובאחריות לממצאים אלה".
אהרן קרט, מהנדס תוכנה בווטסאפ מסר כי "החברה מלאת הוקרה לקהילה הטכנולוגית, שמסייעת לה לשמור על אבטחה חזקה באפליקציה עבור כל משתמשיה ברחבי העולם. הדיווח האחראי של צ'ק פוינט איפשר לנו לפתור את הנושא במהירות עוד באמצע ספטמבר. כמו כן, הוספנו אמצעי בקרה נוספים, למנוע מאנשים להיות מצורפים לקבוצות שהם לא מעוניינים להיות בהן. זאת, כדי להימנע מתקשורת עם גורמים בלתי רצויים".
ידיעות מובילות
האקרים מנצלים את טכנולוגיית ה-eSIM כדי לחטוף מספרי טלפון
"העובדה שישראל לא מובילה ב-AI – תעודת עניות למדינה"
אברא יישמה מערכת לניהול עתירות משפטיות בוועדת הבחירות המרכזית
מיהם.ן המנמ"ריות והמנמ"רים שזכו בתחרות מצטייני המחשוב?
סיסקו מתמודדת עם שני אירועי סייבר
תגובות
(0)