כבר התרגלנו לכך שבעידן הפייק ניוז והרשתות החברתיות, כמעט כל אחד יכול להפיץ מידע שקרי למטרות שונות. אבל מה אם נגיד לכם שכל אחד יכול להכניס מילים לפה שלכם בוואטסאפ? לא מדובר סתם בצילומי מסך, אלא הודעות שגם אתם לא תהיו בטוחים אם כתבתם או לא.
חוקרים ישראליים מצ׳ק פוינט עלו על הבמה ב-Black Hat 2019, כנס אבטחת המידע המפורסם, וטענו כי גילו כבר בשנה שעברה 3 פירצות אבטחה בוואטסאפ, אך פייסבוק התייחסה רק לאחת מהן, והתעלמה מהשאר. אז מה הם עושים כדי ללחוץ על פייסבוק לתעדף את הבעיות אחרי שנה שלמה? מפרסמים את פרטי הפרצות שלא טופלו.
לשנות את כל התוכן הנכתב ברגעים
בצ׳ק פוינט מסבירים כי לקראת סוף שנת 2018 גילו 3 פירצות אבטחה: הראשונה משתמשת בפיצ׳ר הציטוט (Quote) ומאפשרת לשנות את זהות שולח ההודעה, השנייה מאפשרת לשנות לחלוטין את התוכן שנכתב בתגובה (Reply) של משתמש אחר, והשלישית מאפשרת לשלוח הודעה פרטית למשתמש אחר בקבוצה שנראית כמו הודעה קבוצתית, וברגע שהוא יגיב לה, היא תהיה חשופה לכל המשתתפים. נכון להיום, טוענים בצ׳ק פוינט, פייסבוק התייחסה אך ורק לפירצה השלישית ותיקנה אותה, בעוד השתיים האחרות עדיין זמינות לכל תוקף.
מאחר שוואטסאפ מצפינה את כל ההודעות שעוברות דרכה, החוקרים בצ׳ק פוינט החליטו לפנות ל-Whatsapp Web כדי לחלץ את המפתחות הפרטיים והפומביים של ההתכתבויות. לאחר הפענוח של ההתכתבות, לא רק שהחוקרים יכולים כעת לראות את התוכן של המידע העובר בין גירסת המובייל לבין גירסת הווב של וואטסאפ, אלא גם לשנות את התוכן שלהן, ובכך פשוט להכניס מילים לפה של המתכתבים. החוקרים בנו כלי שבתוך שניות יכול לתת להם את השליטה הנדרשת.
עוד ב-Geektime
תחקיר: נערים סיניים עובדים 10 שעות ביום, כדי שלנו יהיה בבית רמקול חכם של אמזון
”המחירון של אפל”: מצאתם פרצת אבטחה? תקבלו עד מיליון דולר
מנגד, בפייסבוק טוענים שלא מדובר בפירצה חמורה כל כך שמשפיעה על האבטחה של וואטסאפ, שכן היא דומה במהותה לשליחה של שרשור התכתבויות במייל, ועריכה של התכנים שלהם כדי להוציא תכנים מהקשרם או להכניס מילים לפה של אדם אחר. עוד מוסיפים בחברה כי טיפול בבעיות שהוצפו על ידי צ׳ק פוינט עשוי להפוך את וואטסאפ לפחות מאובטחת, ולדרוש מהחברה לאחסן מידע נוסף בשרתיה – מה שעשוי לפגוע בפרטיות המשתמשים.