חוקרים בחברת צ'ק פוינט הישראלית הודיעו הבוקר על חולשות מסוכנות שחשפו באפליקציית המסרים וואטסאפ, שמאפשרות לתוקף לשלוח הודעות מזויפות, להתחזות לאדם אחר, ואף למנוע קבלת הודעות מסוימות מהנמען או מהקבוצה שבה הופצה הודעה כלשהי. באמצעות הודעות מזויפות אלה ניתן להתחזות לאדם אחר ולשלוח הודעות מטעות, וניתן למנוע קבלת הודעות מנמענים או לשלוח הודעות מזויפות לנמענים מסוימים בקבוצה. שימוש לרעה בחולשות האלה פותח פתח נרחב למניפולציות על משתמשים ולדגירת התנהגות תוקפנית והרסנית.
-
זיוף הודעות בווטסאפ
-
זיוף הודעות בווטסאפ
-
זיוף הודעות בווטסאפ
חוקרי צ'ק פוינט מצאו שמדובר בשלוש חולשות משמעותיות: תוקף מיומן יכול לערוך מחדש הודעה שכבר נכתבה, להתחזות לאותו אדם תמים, ולשלוח טקסט אחר כאילו האדם שלח אותו. בשיטה דומה יכול התוקף לשנות את שמו של שולח ההודעה וכך לגרום לשאר השותפים לשיחה לחשוב שמישהו אחר כתב את ההודעה. בשיטה השלישית יכול התוקף לשלוח הודעה פרטית, כולל טקסט, תמונה או וידאו, לאחד מחברי הקבוצה אישית, אבל ההודעה תיראה כאילו נשלחה לכלל חברי הקבוצה. אם הנמען, קורבן המתקפה, מגיב להודעה (לפעמים בחמת זעם) יראו אותה כל חברי הקבוצה למרות שלא ראו את ההודעה הפרובוקטיבית שקדמה לה.
החולשות האלה מאפשרות אינספור מניפולציות על משתמשי וואטסאפ תמימים, שעלולות להגיע גם לפעילות פלילית, סחיטה, או כמו שכבר קרה - התאבדות או רצח.
מנהל מחלקת מחקר חולשות בצ'ק פוינט, עודד ואנונו, אומר בשיחה עם "גלובס", כי לאחר שהחברה הודיעה על החולשות לוואטסאפ, היא נענתה שאין ביכולתה של וואטסאפ לתקן את הבעיה מידית שכן היא קשורה במבנה האפליקציה והפיצ'רים שהיא מציעה. "מכיוון שהיו אנשים שנרצחו בגלל הודעות פייק בוואטסאפ בהודו ובברזיל, ובגלל שברחבי העולם הוואטסאפ הוא אמצעי קביל כראייה בבתי משפט, החלטנו שזה לא דבר שאנחנו יכולים לשמור, ושאנחנו חייבים להודיע לציבור במטרה שאנשים יפתחו מודעות ויחשבו פעמיים לפני שהם מגיבים על הודעות דרמטיות".
כך זה עובד:
כיום מועברים באמצעות וואטסאפ 56 מיליארד הודעות ביום, בין 1.5 מיליארד משתמשים ובמסגרת כמיליארד קבוצות. מה שהופך את המערכת לזירה אדירת ממדים לביצוע הונאות ושימוש לרעה בהודעות מזויפות.
בצ'ק פוינט לא יודעים להגיד אם האקרים כלשהם כבר עשו שימוש בחולשה הזו כדי להטות התכתבויות. בקבוצת המחקר של צ'ק פוינט השתתפו גם חוקרי הסייבר דיקלה ברדה ורומן זאיקין. בעבר חשפה החברה חולשות אחרות של וואטסאפ וגם של טלגרם, שאפשרה להאקרים להשתלט על חשבונות משתמשים ולחדור אל כל המידע שלהם, ואף להשתיל קוד זדוני במכשירי הטלפון שלהם. תקלות אלה תוקנו מידית.
דובר של וואטסאפ מסר: "בחנו בתשומת לב רבה את הנושא והוא מקביל לזיוף דוא"ל. מה שצ'ק פוינט גילתה אינו קשור באבטחה המקיפה מצד לצד של המערכת, שמבטיחה שרק השולח והנמען יכולים לקרוא את ההודעה. אנחנו מתמודדים עם אתגר המידע המטעה באופן רציני, ולאחרונה הוספנו מגבלה על כמות התוכן שניתן להעביר לנמענים נוספים, הוספנו תווית להודעות מועברות לנמענים נוספים, וערכנו סדרה של שינויים בצ'אט הקבוצתי. אנחנו יכולים לחסום חשבונות שמנסים לשנות הודעות ולשלוח ספאם, ואנחנו עובדים עם החברה האזרחית במספר מדינות כדי לחנך אנשים לגבי הודעות פייק והונאות".
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.