י"ט אדר ב' התשפ"ד
29.03.2024

חוקרי צ'ק פוינט מצאו דרך להשתלט לכם על וואטסאפ וטלגרם

ראש מחקר חולשות מוצרים בצ'ק פוינט: "חולשת האבטחה שחשפנו העמידה בסכנה מאות מיליוני משתמשים של WhatsApp ו-Telegram ברחבי העולם"

חוקרי צ'ק פוינט מצאו דרך להשתלט לכם על וואטסאפ וטלגרם



חוקרי צ'ק פוינט עשו זאת שוב: חברת אבטחת המידע מפרסמת כעת חולשה חדשה וחמורה במיוחד שחשפו עובדיה. מדובר בנקודות תורפה בגרסת הדפדפן (במחשב שולחני ולא בנייד) של תוכנות המסרים המידיים ווטסאפ וטלגרם, והן מאפשרות גניבה ממשית של זהות המשתמשים והשתלטות מוחלטת על התוכנות. החולשות הוסגרו לשתי החברות, שמיהרו לתקן את הפירצה.

מחברת צ'ק פוינט נמסר היום (ד') כי "חשפנו חולשת אבטחה חדשה בפלטפורמות ה-Web של שניים משירותי ההודעות הנפוצים ביותר בעולם, WhatsApp ו-Telegram. ניצול של חולשת האבטחה עלול היה לאפשר להאקרים להשתלט על חשבונות של משתמשים בתוך שניות, ולהשיג שליטה מלאה בתמונות, הודעות, סרטונים ואנשי קשר. גרסאות ה-Web של שתי החברות מסונכרנות באופן מלא עם אפליקציית המובייל, ומכילות את כל המידע והיסטוריית השיחות של המשתמשים".

איך זה עובד? תוכנות המסרים המיידים מאפשרות שליחה של קבצים בין משתמשים, אלא שמדובר בקבצי תמונות, וידאו, סאונד, טקסט וכדומה - לעומת זאת, התוכנות אינן מאפשרות שליחת קבצים שמכילים קוד. החוקרים של צ'ק פוינט, שפועלים לאתר חולשות ופרצות אפשריות, מצאו דרך להחביא קובץ HTML בתוך הודעת תמונה תמימה. הקוד הזדוני שהוסתר בקובץ תמונה, וכך חדר לתוכנה, מסוגל לגנוב את "מזהה החשבון" (Credentials) של המשתמש, ומרגע זה יכול התוקף לעשות בתוכנה שימוש כאילו שהוא המשתמש הלגיטימי בה.

"חולשת האבטחה שחשפנו העמידה בסכנה מאות מיליוני משתמשים של WhatsApp ו-Telegram ברחבי העולם", אמר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט. "באמצעות שליחה של תמונה שנראית למשתמש תמימה, האקרים עלולים היו להשתלט על החשבונות, להוריד את כל התמונות והקבצים של המשתמשים, ולשלוח בשמם הודעות".



בהתאם לכללי ההסגרה הנהוגים בעולם הסייבר, החברות קיבלו מצ'ק פוינט את המידע טרם פרסום החולשה. ווטסאפ סגרה את הפרצה תוך יום אחד, וטלגרם הצליחה לעשות זאת מספר ימים אחר כך. "לשמחתנו, שתי החברות הגיבו במהירות ובאחריות, ופעלו לתיקון החולשה", אמר ואנונו. "למשתמשי ווטסאפ וטלגרם שרוצים לוודא כי הם משתמשים בגרסה העדכנית ביותר, שכוללת את התיקון, מומלץ להפעיל מחדש את הדפדפן".

החוקרים מאחורי חשיפת החולשה בתוכנות הם ערן וקנין, רומן זאיקין ודקלה ברדה. זאיקין חתום כבר על גילוי פרצת אבטחה משמעותית במסנג'ר של פייסבוק ביוני האחרון, ומוקדם יותר ב-2016 חשף פרצת אבטחה משמעותית גם ב-eBay.
וואטסאפ טלגרם צק פוינט אבטחת מידע גניבת זהות

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.message }}
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}
טען עוד