צ'ק פוינט: פרצות אבטחה בווטסאפ לא טופלו מאז השנה שעברה
חוקרי החברה טוענים כי דיווחו על הפרצות לפייסבוק אך החברה טרם טיפלה בכך; מדובר בפרצות שמאפשרות לגורמים זדוניים להתחזות למשתמשים אחרים; בפייסבוק דוחים את הטענות
פרצות אבטחה שהתגלו בווטסאפ ושדווחו לפייסבוק לפני כשנה טרם נחסמו, כך אומרים חוקרי צ'ק פוינט שדיווחו עליהן לרשת החברתית. הפרצות שזוהו איפשרו לגורם זדוני או להאקר לבצע שינויים בהודעות שנשלחו בקבוצות, להתחות למשתמשים אחרים, להציג מסרים אישיים כקבוצתיים ועוד.
קראו עוד בכלכליסט:
- פייסבוק מתחילה להוסיף את המותג שלה לווטסאפ ואינסטגרם
- בפיתוח: גרסת ווטסאפ אוניברסלית שלא מצריכה טלפון סלולרי
- מדריך ווטסאפ: כך תשלחו תמונות בלי שהאיכות שלהן תיפגע
הפרצות דווחו כנדרש לפייסבוק בשנה שעברה - אך לדברי עודד וענונו, מנהל מחקרי סייבר בצ'ק פוינט, החברה סירבה לטפל בחלק מהן בטענה שמדובר במגבלות טכנולוגיות ומבניות של הפלטפורמה עליה נבנתה אפליקציית ווטסאפ. בצ'ק פוינט החליטו להשיק כלי שיאפשר לכל משתמש לנצל את הפרצות וזאת כדי להעלות את המודעות למגבלות הבטיחותיות של ווטסאפ, כך על פי דיווח של הפייננשל טיימס.
צילום: שאטרסטוק "אנו מעריכים שזו החובה שלנו", אמר וענונו במהלך המצגת שלו בכנס הסייבר בלאק האט שנערך בימים אלה בלאס וגאס. לאפליקציה יש כיום כ-1.5 מיליארד משתמשים והשיטות שזוהו יכולות בקלות לשמש להפצה של מידע מזויף או דיסאינפורמציה שנראית כאילו נשלחה ממקור אמין.
מה פייסבוק עושה?
עם זאת אין הדבר אומר שפייסבוק לא מנסה להגביל את הבעיות שזוהו בווטסאפ, החברה כבר החלה להגביל את מספר הנמענים אליהם ניתן להעביר הודעות, זאת בעקבות סדרה של מקרי לינץ' בהודו שבוצעו בגלל הפצה של שמועות באפליקציה. כעת ניתן להעביר הודעות לחמישה נמענים בלבד, לעומת 20 בעבר. בנוסף פייסבוק מסמנת כעת את ההודעה אם הועברה מנמען אחר.בפייסבוק טוענים מנגד שהפרצות טופלו, ובצ'ק פוינט ציינו שנותרו עדיין שתיים: הראשונה מאפשרת לשולח להתחזות או לשנות את זהות שולח ההודעה במסגרת קבוצה; הפרצה השנייה מאפשרת לענות להודעה תוך שימוש בתכונת הציטוט ולשנות אותה בצורה כזו שייראה כאילו היא הכילה תוכן אחר.
בשני המקרים, מסביר וענונו, מדובר בשיטות שאינן בעייתיות ליישום והן גם לא דורשות לפרוץ את הצפנת האפליקציה.
מנגד פייסבוק הגיבה לטענות של צ'ק פוינט והסבירה שה"פרצות" אינן שונות משינוי או זיוף של מייל: "אין זה נכון לטעון שישנה פרצה ברמת האבטחה שאנחנו מספקים למשתמשים באפליקציה", מסרו שם. עוד הסבירו ברשת החברתית שהדרך היחידה להתמודד עם הבעיות האלה דורשת שמירה של מידע לגבי מקור ההודעות - "מה שיפגע בפרטיות שלה", כך נטען.
