מומחי אבטחה מחברת צ'ק פוינט הישראלית איתרו תקלות אבטחה בווטסאפ ובטלגרם אשר יכולות להשפיע על מיליוני משתמשים ולהפוך את המידע שלהם לגלוי. על פי הדיווח שפורסם היום (רביעי), תקלות האבטחה השפיעו על גרסת הדפדפן של האפליקציות ולא על המובייל. המידע אודות התקלה הועבר לחברות בתחילת החודש והבעיה תוקנה במהרה.
"מצאנו חולשת אבטחה שמאפשרת לתוקף בווטסאפ ווב ובטלגרם ווב לבצע מניפולציה למנגנון העלאת הקבצים", הסביר רומן זאיקין, חוקר אבטחה בצ'ק פוינט, "באמצעות שיטה זו, התוקף יכול לקחת מסמך, שיכול קוד זדוני, להסוות אותו כתמונה, ולשלוח אל המטרה. המטרה לא תבחין בכך שקיבלה תמונה זדונית וכשהיא תלחץ על המסמך - מזהי החשבון יעברו לתוקף. הוא הוסיף כי "באותה נקודה ספציפית, התוקף יוכל לגשת לכל התמנוות של מטרעה לסרטוני הוידאו, לשיחות לקבוצות. הוא יוכל אפילו לשלוח הודעות בשם המטרה".
בחברה הסבירו כי הוספת כתובת מייל חשובה מאוד וציינו כי משתמשים שבחרו שלא להוסיף כתובת מייל בעת ההרשמה או עדכון האפליקציה ייאלצו לחכות שבוע עד שיוכלו לאפס את הססמה. בעקבות זאת, ההודעות שנתקבלו בשבעת הימים שבהם למשתמש לא היתה גישה לוואטסאפ - יימחקו. הם הוסיפו כי במידה ולא ייעשה שימוש באפליקציה במשך 30 ימים החשבון וכל התכנים שבו יימחקו, ובמידה והמשתמש ייכנס שנית לאפליקציה, הוא יוכל לפתוח משתמש חדש.
כזכור, החל מאפריל 2016 החברה החלה בהצפנה של ההודעות הכתובות ותכנים המועברים בה. הם טענו כי "כשאתם שולחים הודעה, האדם היחיד שיוכל לקרוא אותה הוא האדם או הקבוצה אליהם אתם שולחים את ההודעה. אף אחד לא יוכל לקרוא את ההודעה שלכם: לא פושעי סייבר, לא האקרים, לא משטרים מדכאים. אפילו לא אנחנו". למרות זאת, מומחי אבטחה רבים טוענים כי זו הצהרה ללא כיסוי וכי אין דרך לדעת האם היא מכילה דלת אחורית או פרצת אבטחה מובנית, שיאפשרו לצד שלישי לקרוא את ההודעות.
התרעות פיקוד העורף