מציצים לכם בווטסאפ: נחשפה פרצת אבטחה חמורה באפליקציה

פרצת אבטחה נוספת התגלתה בווטסאפ: ת'יס אלקמדה, סטודנט למדעי המחשב באונ' אוטרכט בהולנד, חשף אתמול בבלוג שלו ליקוי בתכנון מנגנון ההצפנה של ההודעות באפליקצית המסרים הפופולרית. לטענתו, ניתן לשבור בקלות רבה את ההצפנה ולפענח את תוכן ההודעות.

לדברי אלקמדה, שפרסם את פרטי השיטה בבלוג שלו, ווטסאפ משתמשת במפתחות המשמשים לנעילת המסרים המוצפנים בצורה שגויה, שמאפשרת לשלוף מתוך זרם הנתונים את המפתח שמפענח את ההצפנה בטכניקה פשוטה יחסית ובזמן לא ארוך.

המשמעות המעשית היא שאם השתמשתם באפליקציה דרך רשת WiFi ציבורית, לדוגמה, אדם אחר המחובר באותו הזמן לרשת יוכל לקרוא את ההודעות ששלחתם או קיבלתם. בנוסף, גופים כמו ה-NSA המצוידים בגישה לצמתי תקשורת יכולים גם הם לפענח את ההודעות. הגרסאות שפגיעות לבעיה בוודאות הן אלו שמיועדות לאנדרואיד ומכשירי נוקיה, וייתכן שגם לאייפון.

חור אבטחה חמור

הגילוי של אלקמדה נבדק על ידי מומחי הצפנה נוספים, דוגמת תומאס פטאסק מחברת הייעוץ מטאסנו, מומחה מוכר בענף, שקבע כי מדובר ב"חור אבטחה חמור בצורה קיצונית, שאנשים רבים יודעים כיצד לנצל". לטענת אלקמדה, אלגוריתם שמאפשר לנצל פרצות אבטחה מסוג זה פותח כבר ב-2006 וניתן ליישם אותו בקלות גם על ווטסאפ.

בתגובה לטענות, אמר מנכ"ל ווטסאפ יאן קום: "הדברים שנכתבו בבלוג מתארים מצב תאורטי ביסודו. להגיד שכל השיחות שנעשו בוואסטאפ חשופות לציתות זה לא מדויק, והדברים נופחו מעבר למידתם. וואטסאפ מתייחסת לאבטחה ברצינות ומחפשת כל הזמן דרכים לשפר את המוצר".

לאפליקציית המסרים הפופולרית, בה משתמשים יותר מ-300 מיליון איש ברחבי העולם, היסטוריה ארוכה של בעיות אבטחה - למשל משלוח הודעות ללא הצפנה כלל, חשיפת מספרי טלפון של משתמשים ושחזור התקנות ישנות של התוכנה שנמחקו ממכשירים על ידי משתמש אחר. בתחילת השנה האפליקציה הוסרה לזמן קצר מחנות האפליקציות של אפל בעקבות בעיות אבטחה ורק שלשום נפרצו שרתי החברה על ידי קבוצת אנשים שהזדהו כהאקרים פלסטינים שחסמו לכמה שעות את אפשרות העברת התמונות לחלק ממשתמשי האפליקציה.