BETA

11.10.2018

08:36

קיבלתם שיחת וידאו מגורם זר בוואטסאפ? אולי פרצו לכם לחשבון

פירצת אבטחה חדשה שנתגלתה באפליקציית וואטסאפ איפשרה לפורצים לחדור לחשבונות משתמשים, באמצעות שיחת וידאו פשוטה. לכל הפרטים

רק ימים אחרי שמערך הסייבר הלאומי התריע מפני פירצת אבטחה חמורה בוואטסאפ, אשר עשתה שימוש בתא הקולי של כולנו, נחשפה ביממה האחרונה פירצה חדשה שתוקנה בינתיים - אך הותירה המון שאלות.

 

ראשיתו של הסיפור בחודש אוגוסט האחרון, עת חוקרת אבטחה בשם נטלי סילבנוביץ', מפרוייקט Zero של גוגל, חשפה פירצת אבטחה חמורה בוואטסאפ - מסתבר ששיחת וידאו פשוטה עלולה להעניק לתוקפים את היכולת להשתלט על האפליקציה של הקורבן.

 

 

המקור לפירצה הזו הוא בפרוטוקול התקשורת שוואטסאפ עושה בו שימוש, כמו גם אפליקציות וידאו אחרות. מסתבר שהחוקרים איתרו חולשה במערכת ניהול הזיכרון של הפרוטוקול הזה, ה-RTP, כך שכל מה שנדרש הוא פשוט שהקורבן יענה לשיחת וידאו כדי שהתוקף יקבל שליטה על חשבונו של הקורבן. החולשה הזו נמצאה באפליקציות האנדרואיד וה-iOS של החברה - אך לא בגרסת הדסקטופ.

 

החוקרים יידעו את החברה עוד באוגוסט האחרון, אך בוואטסאפ הצליחו לתקן את הפירצה רק בתחילת החודש. לא ברור כמה זמן הפירצה הזו היתה באוויר ואם היא נוצלה למטרות זדוניות - מוואטסאפ נמסר כי לא ידוע להם על שימוש לרעה בפירצה (מה שכמובן לא פוסל שהיא אכן נוצלה על ידי תוקפים).

 

החלק המעניין בסיפור הוא שלא פייסבוק או וואטסאפ יצאו והודיעו לציבור על הפירצה - כי אם החוקרת בפרוייקט של גוגל והאתרים ZDNET ו-the register. הנוהל במקרים הללו הוא שלחברה ניתן 90 יום להתמודד עם הפירצה בטרם לחושף ניתנת הזכות לפרסמה לציבור - מאחר ופרק הזמן הזה לא תם, לא ברור מדוע החליטה החוקרת לצאת ולפרסם את דבר הפירצה לפני החברה עצמה.