למעלה מ-65 מיליארד הודעות נשלחות בוואטסאפ מדי יום על ידי כ-1.5 מיליארד משתמשים ברחבי העולם. חולשת אבטחה שאותרה על ידי חוקרי הסייבר של חברת צ'ק פוינט, דיקלה ברדה, רומן זאיקין ויערה שריקי, ניצלה למעשה את העובדה שבכל צ'אט קבוצתי (וכל אחד ואחת מאיתנו חברים בלא מעט צ'אטים כאלה) יכולים להשתתף עד 256 בני אדם.
באמצעות החולשה, גורמים זדוניים יכלו להחדיר לינקים לקבוצות, אשר גורמות לאפקליציה לקרוס במכשירים של כל החברים באותה הקבוצה שנדבקה. הדבר מחייב אותם למחוק את האפליקציה, ועם התקנתה מחדש - למחוק את כל הנתונים באותה השיחה. בצ'ק פוינט דיווחו על החולשה לוואטסאפ וזו תוקנה בתוך ימים ספורים.
עודד ואנונו, ראש מחלקת חולשת מוצרים בצ'ק פוינט, אשר עמד בראש המחקר אמר כי "וואסטאפ היא אחת מאפליקציות התקשורת המובילות בעולם לצרכנים, עסקים וממשלות, ולכן היכולת לעצור את השימוש בה ולהביא למחיקת הזכרון בקבוצות השיחה היא תחמושת משמעותית עבור שחקנים זדוניים". הוא הוסיף: "אנו ממליצים לכל צרכני האפליקציה לוודא שהיא מעודכנת בעדכון התוכנה האחרון שלה בכדי להבטיח שהם מוגנים מחולשה זו. וואטסאפ הגיבה במהירות ובאחריות לממצאים אלו".
פרצת אבטחה בוואסטאפ
צ'ק פוינט דיווחה לוואטסאפ על החולשה ב-28.8.19 וזו הכירה בחולשה ותיקנה אותה תוך ימים. עדכון התוכנה מספר 2.19.58 כולל את התיקון לחולשה האמורה. אהרן קרט, מהנדס תוכנה מטעם וואטסאפ מסר : "וואטסאפ מלאת הוקרה לקהילה הטכנולוגית שמסייעת לה לשמור על אבטחה חזקה באפליקציה עבור כל משתמשיה ברחבי העולם. דיווח אחראי מסוג זה של צ'ק פוינט אפשר לנו לפתור את הנושא במהירות עוד באמצע ספטמבר. כמו כן, הוספנו אמצעי בקרה נוספים למנוע מאנשים להיות מצורפים לקבוצות שהם לא מעוניינים להיות בהן , וזאת בכדי להמנע מתקשורת עם גורמים בלתי רצויים".
המחקר הנ"ל מבוסס על כלי שפיתחו חוקרי צ'ק פוינט באמצעותו הם איתרו חולשות אבטחה באפליקציה הפופולרית בעבר אשר אפשרו שליחת הודעות מזויפות לאפליקציה.