מומחי אבטחה מחברת צ'ק פוינט הישראלית איתרו תקלות אבטחה בווטסאפ ובטלגרם אשר יכולות להשפיע על מיליוני משתמשים ולהפוך את המידע שלהם לגלוי. על פי הדיווח שפורסם היום (רביעי), תקלות האבטחה השפיעו על גרסת הדפדפן של האפליקציות ולא על המובייל. המידע אודות התקלה הועבר לחברות בתחילת החודש והבעיה תוקנה במהרה.



על פי הדיווחים, האקרים יכלו לשלוח תמונה המכילה וירוס וכך לקבל גישה לנתוני הווטסאפ של מי שקיבל את התמונה ולהשתלט לו על החשבון. בנוסף, הם יכולים לשלוח את אותו הוירוס לכל אנשי הקשר של אותו אדם. בנוסף, במסמכי ה-CIA שהודלפו על ידי ויקיליקס בשבוע שעבר נכתב כי הארגון מסוגל לגשת למידע המועבר באפליקציות האלה, למרות ההצפנה אפשר מופעלת בהן לכאורה. 



"מצאנו חולשת אבטחה שמאפשרת לתוקף בווטסאפ ווב ובטלגרם ווב לבצע מניפולציה למנגנון העלאת הקבצים", הסביר רומן זאיקין, חוקר אבטחה בצ'ק פוינט, "באמצעות שיטה זו, התוקף יכול לקחת מסמך, שיכול קוד זדוני, להסוות אותו כתמונה, ולשלוח אל המטרה. המטרה לא תבחין בכך שקיבלה תמונה זדונית וכשהיא תלחץ על המסמך - מזהי החשבון יעברו לתוקף. הוא הוסיף כי "באותה נקודה ספציפית, התוקף יוכל לגשת לכל התמנוות של מטרעה לסרטוני הוידאו, לשיחות לקבוצות. הוא יוכל אפילו לשלוח הודעות בשם המטרה".



ווטסאפ עומדת להוסיף כלי אימות אבטחה כפול



התקלה הזו מתגלה כחודש לאחר שווטסאפ הודיעה על הוספת כלי אימות אבטחה כפול. בכדי להפעילו, על המשתמש יהיה להזין קוד בן שש ספרות, בנוסף להזנה של מספר הטלפון הנייד שלו וקבלת הודעת סמס עם קוד בן ארבע ספרות בעת ההרשמה הראשונית. המשתמשים יתבקשו להזין את הקוד בן שש הספרות פעם בשבוע ובמידה וישכחו את הקוד הם יוכלו לאפס אותו באמצעות הודעה שתישלח לדואר האלקטרוני שלהם. משתמשים שבחרו שלא להזין את המייל שלהם בעת ההרשמה לאפליקציה, יוכלו לשחזר את הקוד גם הם - אך ייאלצו לחכות שבעה ימים לשם כך.



בחברה הסבירו כי הוספת כתובת מייל חשובה מאוד וציינו כי משתמשים שבחרו שלא להוסיף כתובת מייל בעת ההרשמה או עדכון האפליקציה ייאלצו לחכות שבוע עד שיוכלו לאפס את הססמה. בעקבות זאת, ההודעות שנתקבלו בשבעת הימים שבהם למשתמש לא היתה גישה לוואטסאפ - יימחקו. הם הוסיפו כי במידה ולא ייעשה שימוש באפליקציה במשך 30 ימים החשבון וכל התכנים שבו יימחקו, ובמידה והמשתמש ייכנס שנית לאפליקציה, הוא יוכל לפתוח משתמש חדש.


כזכור, החל מאפריל 2016 החברה החלה בהצפנה של ההודעות הכתובות ותכנים המועברים בה. הם טענו כי "כשאתם שולחים הודעה, האדם היחיד שיוכל לקרוא אותה הוא האדם או הקבוצה אליהם אתם שולחים את ההודעה. אף אחד לא יוכל לקרוא את ההודעה שלכם: לא פושעי סייבר, לא האקרים, לא משטרים מדכאים. אפילו לא אנחנו". למרות זאת, מומחי אבטחה רבים טוענים כי זו הצהרה ללא כיסוי וכי אין דרך לדעת האם היא מכילה דלת אחורית או פרצת אבטחה מובנית, שיאפשרו לצד שלישי לקרוא את ההודעות.