נחשף ליקוי אבטחה בווטסאפ, מאות מיליוני משתמשים בסכנת פריצה
באג באפליקציית הצ'ט הפופולרית מאפשר פריצה נרחבת למכשירים דרך העברת קובצי GIF; טרם התגלו מקרים בהם נוצל חור האבטחה בידי פושעי סייבר, והחברה מיהרה להפיץ עדכון גרסה שחוסם את הפירצה
נחשף ליקוי חדש בווטסאפ שמציב את כל משתמשיה בסכנת פריצה; חוקר סייבר המכונה Awakened חשף באג שמאפשר לפושעי רשת לפרוץ לכל טלפון עליו מותקנת האפליקציה על ידי שליחה של אנימציית GIF. ווטסאפ הכירה בפרצה והודיעה שהיא תוקנה החל מגרסה 2.19.244 של האפליקציה, שזמינה להורדה.
- חמש שניות ודי: ווטסאפ עושה סנאפצ'ט, בוחנת הודעות זמניות
- חדש בווטסאפ: הסטטוסים יוכלו להפוך לסטוריז בפייסבוק
- חדש בווטסאפ: אלבומים בדפדפן, נעילה כפולה באנדרואיד
הפירצה עצמה מבוססת על באג שמכונה double-free bug, ובמרכזה תקלת זיכרון שגורמת לאפליקציה לקרוס במקרים מסוימים. חוקר האבטחה גילה שניתן להשתמש בה גם כדי לפתוח וקטור תקיפה לסמארטפון של המשתמש. תוקפים יכולים להעביר תמונה דרך ווטסאפ עצמה, או במייל - ופתיחתה תעניק להם גישה ליישום.
ליקוי אבטחה בעייתי. ווטסאפ צילום: שאטרסטוק
ניתן להיעזר בליקוי הזה גם כדי לחדור לרכיבים נוספים בטלפון; ברגע שנשמר קובץ ה-GIF בספריית ווטסאפ, יכול התוקף להגיע לתיקיות בעלות הרשאה מוגבלת, ולשתות מידע מהמכשיר. בינתיים זוהתה הפירצה רק במכשירים שמריצים את אנדרואיד בגרסאות 8 ו-9, אך יתכן שאפשר לנצלה גם במכשירים אחרים; לא ידוע האם הקוד הבעייתי קיים גם במכשירי האייפון והאייפד של אפל. מווטסאפ נמסר שעד כה לא זוהו ניסיונות לגנוב מידע דרך הפירצה האמורה.
ווטסאפ סבלה מסדרה של באגים בשנה האחרונה, החל מהפירצה שאפשרה להחדיר תוכנות ריגול (בין היתר, של NSO) ונחשפה במאי שעבר וכלה בבאג שהודגם באוגוסט בידי חוקרי צ'קפוינט ואיפשר לזייף הודעות. האפליקציה נמצאת בפיתוח מתמשך וכך שבאגים צצים בכל עת. ההמלצה הגורפת היא תמיד לדאוג לכלול את ווטסאפ ברשימת האפליקציות שמעודכנות אוטומטית ברגע שיוצאת גרסה חדשה. המלצה זו חשובה פי כמה אם אתם מנהלים תכתובות רגישות דרכה.
