צילום: בלומברג
מומחה אבטחה: האקרים יכולים לקרוא את הצ'טים שלכם בוואטסאפ
באס בוסצ'רט מצא פירצת אבטחה חמורה באפליקציית האנדרואיד של וואטסאפ המאפשרת להאקרים להוריד את כל מאגר המידע של משתמשים, כולל היסטוריית שיחות ורשימת אנשי קשר
קראו עוד בכלכליסט
לדברי בוסצ'רט, הפרצה מצויה בעובדה שאפלקציית וואטסאפ לאנדרואיד יכולה לשמור את מאגר המידע שלה גם על כרטיס SD חיצוני שנמצא במכשיר. “את המידע שעל הכרטיס יכולה לקרוא כל אפליקציית אנדרואיד שהמשתמש נתן לה גישה. ומכיוון שמרבית המשתמשים מאשרים הכול על מכשיר האנדרואיד שלהם, לא מדובר בחסם משמעותי", הוא כתב בבלוג האישי שלו.
לדבריו, כל מה שהאקר צריך לעשות על מנת לזכות בגישה למידע הוא ליצור אפליקציית אנדרואיד שמבקשת גישה לכרטיס ה-SD, ולתכנת אותה כך שתעתיק את המידע ותשלח אותו לשרת שלו. האפליקציה הזדונית יכולה להתחזות בקלות לאפליקציה תמימה, למשל אחד מחיקויי פלאפי בירד שממלאים בימים אלו את חנויות האפליקציות השונות וזוכים להצלחה ניכרת. “אנשים רק יראו את מסך הטעינה כשהם מתחילים את המשחק. הם לא ישימו לב שמאגר המידע של וואטסאפ מועלה לרשת", אמר בוסצ'רט לאתר ביזנס אינסיידר.
בגרסאות החדשות של אפליקציית הצ'ט, וואטסאפ כבר מצפינה את מאגר המידע שהיא שומרת על כרטיס ה-SD, אבל לדברי בוסצ'רט אין כל קושי להתגבר על ההצפנה. “אפשר לפענח את ההצפנה באמצעות סקריפט פייתון פשוט שהופך את מאגר המידע המוצפן למאגר מידע רגיל", הוא כתב. "כל אפליקציה יכולה לקרוא את מאגר המידע של וואטסאפ, ושאפשר גם לקרוא את היסטוריית ההודעות מתוך מאגרי מידע מוצפנים. פייסבוק לא הייתה צריך לקנות את וואטסאפ בשביל לקרוא את הצ'טים שלכם".
מוואטסאפ נמסר בתגובה לאתר ynet: "אנחנו מודעים לדיווחים על 'כשל אבטחתי'. למרבה הצער, דיווחים אלו לא מציגים תמונה מדויקת והינם מוגזמים. בנסיבות רגילות, המידע על כרטיס ה-SD אינו חשוף. עם זאת, אם בעל המכשיר מוריד נוזקה או וירוס, הטלפון שלהם יהיה בסיכון. כתמיד, אנחנו ממליצים שמשתמשים וואטסאפ יתקינו את כל עדכוני התוכנה כדי לקבל את תיקוני האבטחה האחרונים ומעודדים את המשתמשים להוריד רק תוכנה אמינה מחברות בעלות שם. הגרסה העדכנית של וואטסאפ בגוגל פליי עודכנה כדי להגן על המשתמשים שלנו נגד אפליקציות זדוניות".
9 תגובות לכתיבת תגובה