חור בווטסאפ: פרצת אבטחה מאפשרת לרגל אחרי קבוצות סגורות

ליקוי אבטחה חמור בווטסאפ: מערכת הצפנת הצ'טים הקבוצתיים של האפליקציה חשופה לפריצה ויירוט מסרים בידי גורמי ביון ממשלתיים ואף פושעי סייבר מתקדמים. לפי דיווח של wired, קבוצת חוקרי אבטחה מאוניברסיטת רוהר בגרמניה איתרה את הליקוי, שמאפשר החדרת אנשים לצ'טים קבוצתיים בצורה חשאית וללא הרשאת מנהלי הקבוצה, על ידי שליטה בתקשורת בין שרתי ווטסאפ ומכשירי המשתמשים.

לא כל אחד יכול לקבל גישה לשרתי ווטסאפ, כך שאין סיכוי שהאקר ממוצע יוכל לצותת לקבוצות סגורות, אך גורמים בממשלת ארה"ב וסוכנויותיה, עובדי ווטסאפ ופייסבוק וספקים טכניים של החברות יכולים, בתיאוריה, להשתמש בפרצה שהתגלתה ולהיכנס אל כל צ'ט. בנוסף, לא סוד הוא שארגוני פשיעה בינלאומיים מחזיקים מערכות פרוצות בחברות טכנולוגיה רבות, בהן עושים שימוש מפעם לפעם - כך שיתכן שגם האקרים עתירי יכולות יצליחו לגנוב מידע בשיטה שהתגלתה.

הליקוי נשען על באג פשוט: רק מנהל קבוצה בווטסאפ יכול לאשר חברים חדשים בה, אבל שרתי החברה יכולים לתמרן באופן חופשי את הזמנות ההצטרפות ואת אישורן, ללא תלות במנגנון אימות זהות. מערכת ההצפנה של ווטסאפ מחלקת מפתחות הצפנה לכל משתמש שמוכנס לשיחה, בין אם הוכנס לשם בידי מנהל הקבוצה ובין אם בידי גורמים אחרים. מנהל הקבוצה יוכל לראות שצורף משתמש חדש, אך רק אם ישים לב; ישנם ארגונים רבים שנשענים על קבוצות ווטסאפ צוותיות או חטיבתיות, בהן מאות הודעות ביום, כך שלא קל לשים לב שמישהו הצטרף.

התקלה זוהתה עוד ביולי האחרון ודווחה לווטסאפ, אשר טענה שהנושא תוקן הודות לשיפור ברכיבי ההצפנה של החברה. ווטסאפ התייחסה לפרצה בתור סיכון תיאורטי מאוד, ולא בתור איום מהותי על פרטיות המשתמשים.

הבטחת ההצפנה: מה היא שווה, בעצם?

בעקבות הפרסום ב-Wired, אישרה ווטסאפ את פרטי הבאג והפרצה שהוא מאפשר; ואולם, לטענתה לא ניתן להכניס משתמשים חשאית לקבוצות סגורות בקלות. "הנושא הזה נבחן בקפידה. חברים קיימים בקבוצות מיודעים כשמצטרפים חברים חדשים. בנינו את ווטסאפ כך שמסרים קבוצתיים לא יוכלו להישלח אל משתמשים חשאיים. פרטיות ואבטחת המשתמשים שלנו חשובה לנו ולכן אנו אוספים מעט מאוד מידע וכל המסרים בווטסאפ מוצפנים מקצה לקצה".

לטענת החוקרים, פריצת הצפנה גם באפליקציות סיגנל ו-Threema, יישומים נוספים שנשענים על טכניקת ערבול מסרים בהתכתבויות בין מספר משתמשים, אם כי בצורה חמורה פחות מאשר בווטסאפ.

"אם אתה בונה מערכת שהכל בה מסתכם בהסתמכות על השרת, תוכל באותה המידה לוותר על המורכבות הזו ולשכוח מהצפנה מקצה לקצה", אמר ל-Wired פרופ' מתיו גרין, מומחה בהצפנה מאוניברסיטת ג'ונס הופקינס, שקרא את פרטי המחקר. "זו פאשלה מוחלטת, אין שום תירוץ".