אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
מומחה אבטחה: האקרים יכולים לקרוא את הצ'טים שלכם בוואטסאפ צילום: בלומברג

מומחה אבטחה: האקרים יכולים לקרוא את הצ'טים שלכם בוואטסאפ

באס בוסצ'רט מצא פירצת אבטחה חמורה באפליקציית האנדרואיד של וואטסאפ המאפשרת להאקרים להוריד את כל מאגר המידע של משתמשים, כולל היסטוריית שיחות ורשימת אנשי קשר

13.03.2014, 11:19 | עומר כביר
פרצה באפליקציית הצ'ט הפופולרית וואטסאפ לאנדרואיד מאפשרת לאפליקציות זדוניות לגשת לכל היסטוריית השיחות של המשתמש, ואף להעביר אותם לגורמים זדוניים – כך טוען מומחה האבטחה באס בוסצ'רט, שחשף את הפרצה. זאת רק מספר ימים לאחר שהחברה שחררה עדכון גרסה המאפשר למשתמשים לנהל את הגדרות הפרטיות שלהם.

קראו עוד בכלכליסט

לדברי בוסצ'רט, הפרצה מצויה בעובדה שאפלקציית וואטסאפ לאנדרואיד יכולה לשמור את מאגר המידע שלה גם על כרטיס SD חיצוני שנמצא במכשיר. “את המידע שעל הכרטיס יכולה לקרוא כל אפליקציית אנדרואיד שהמשתמש נתן לה גישה. ומכיוון שמרבית המשתמשים מאשרים הכול על מכשיר האנדרואיד שלהם, לא מדובר בחסם משמעותי", הוא כתב בבלוג האישי שלו.

יאן קום, מייסד ומנכ"ל וואטסאפ יאן קום, מייסד ומנכ"ל וואטסאפ יאן קום, מייסד ומנכ"ל וואטסאפ

לדבריו, כל מה שהאקר צריך לעשות על מנת לזכות בגישה למידע הוא ליצור אפליקציית אנדרואיד שמבקשת גישה לכרטיס ה-SD, ולתכנת אותה כך שתעתיק את המידע ותשלח אותו לשרת שלו. האפליקציה הזדונית יכולה להתחזות בקלות לאפליקציה תמימה, למשל אחד מחיקויי פלאפי בירד שממלאים בימים אלו את חנויות האפליקציות השונות וזוכים להצלחה ניכרת. “אנשים רק יראו את מסך הטעינה כשהם מתחילים את המשחק. הם לא ישימו לב שמאגר המידע של וואטסאפ מועלה לרשת", אמר בוסצ'רט לאתר ביזנס אינסיידר.

בגרסאות החדשות של אפליקציית הצ'ט, וואטסאפ כבר מצפינה את מאגר המידע שהיא שומרת על כרטיס ה-SD, אבל לדברי בוסצ'רט אין כל קושי להתגבר על ההצפנה. “אפשר לפענח את ההצפנה באמצעות סקריפט פייתון פשוט שהופך את מאגר המידע המוצפן למאגר מידע רגיל", הוא כתב. "כל אפליקציה יכולה לקרוא את מאגר המידע של וואטסאפ, ושאפשר גם לקרוא את היסטוריית ההודעות מתוך מאגרי מידע מוצפנים. פייסבוק לא הייתה צריך לקנות את וואטסאפ בשביל לקרוא את הצ'טים שלכם".

מוואטסאפ נמסר בתגובה לאתר ynet: "אנחנו מודעים לדיווחים על 'כשל אבטחתי'. למרבה הצער, דיווחים אלו לא מציגים תמונה מדויקת והינם מוגזמים. בנסיבות רגילות, המידע על כרטיס ה-SD אינו חשוף. עם זאת, אם בעל המכשיר מוריד נוזקה או וירוס, הטלפון שלהם יהיה בסיכון. כתמיד, אנחנו ממליצים שמשתמשים וואטסאפ יתקינו את כל עדכוני התוכנה כדי לקבל את תיקוני האבטחה האחרונים ומעודדים את המשתמשים להוריד רק תוכנה אמינה מחברות בעלות שם. הגרסה העדכנית של וואטסאפ בגוגל פליי עודכנה כדי להגן על המשתמשים שלנו נגד אפליקציות זדוניות".

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות

9 תגובות לכתיבת תגובה לכתיבת תגובה

6.
תגובה ל - 5
זה רק מראה כמה אתה לא מבין את החיים המודרניים. 1. לממשלות מזמן אין השפעה על החיים (לפחות לא על הקידמה). 2. עד שגוף בינלאומי כל שהוא יבצע את הבדיקה, התוכנה כבר לא תהייה רלונטית (מה עוד שאפל מנסה לבצע בדיקות). 3. כמו שאין כספת בעולם שלא ניתן לפרוץ אותה כך אין מחשב בעולם שלא ניתן לפרוץ אליו. הכל זה עניין של זמן ועלות בלבד. 4. הכי חשוב: רק המשתמש עצמו יכול להיות אחראי על הנתונים שלו. רק המשתמש עצמו יכול להיות אחראי על האפליקציות שהוא מתקין. אם המשתמשים לא רציניים (לא רציתי להגדיר אותם מטומטמים) אל תצפה מאחרים להגן עליהם.
משה , מרכז  |  13.03.14
5.
זה מראה עד כמה אין פיקוח ממשלתי חכם על התוכנות, לא בחוקים אלא בהתניות והגבלות
כל תוכנה ברמה של ווטסאפ וכמובן פייסבוק אנדרואיד וכו צריכות לעבור בדיקה של גוף ממשלתי או גוף בינלאומי המאגד כמה מדינות, בדיקה כזאת תכלול קודם כל את רמת האבטחה בתרחישים שונים כמו כן בדיקת אבטחה בסיסית שתכלול את כל מרכיבי החומרה הקיימים והאופציונלים...בדיקה כזאת היית מגלה מיידית את הפירצה הנל
הפקרות טכנולוגית  |  13.03.14
לכל התגובות