רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

צ'ק פוינט: פרצה בוואטסאפ וטלגרם אפשרה השתלטות על חשבונות

חברת האבטחה הישראלית הודיעה כי דווקא ההצפנה בגרסאות המחשב של שתי האפליקציות הפופולריות סייעה בהחדרת קבצים זדוניים; שתי החברות תיקנו הפרצה לפני הפרסום

תגובות

חברת צ'ק פוינט חשפה היום (רביעי) פרצה חדשה בגרסאות המחשב של WhatsApp ו-Telegram.  לדברי החוקרים, ניצול של חולשת האבטחה עלול היה לאפשר להאקרים להשתלט על חשבונות של משתמשים. החברה יצרה קשר עם שתי החברות והן תיקנו את הפרצות. 

"חולשת האבטחה שחשפנו העמידה בסכנה מאות מיליוני משתמשים של WhatsApp ו-Telegram ברחבי העולם," צוטט עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט בהודעת החברה. "באמצעות שליחה של תמונה שנראית למשתמש תמימה, האקרים עלולים היו להשתלט על החשבונות, להוריד את כל התמונות והקבצים של המשתמשים, ולשלוח בשמם הודעות."

וואטסאפ
בלומברג

גרסאות המחשב של שתי החברות מופעלות בחלון בדפדפן ומסונכרנות באופן מלא עם אפליקציית המובייל. החברה ציינה כי הגרסאות מכילות את כל המידע והיסטוריית השיחות של המשתמשים. 

חולשת האבטחה אפשרה לתוקפים לשלוח למשתמשים תמונה שבה מוסתר קוד זדוני. כאשר המשתמש היה לוחץ על התמונה כדי לפתוח אותה, התוקף היה משיג שליטה מלאה בחשבון המשתמש. במצב כזה, התוקף יכול היה גם לשלוח את התמונה הזדונית לאנשי הקשר של המשתמש, וכך להשתלט על חשבונות נוספים. 

צ'ק פוינט חשפה את המידע לצוותי אבטחת המידע של WhatsApp ו- Telegramב-8 במרס, 2017. ב-WhatsApp אישרו את הממצא ובתוך יום (9 במרס 2017) תיקנו את החולשה לכל משתמשי ה-Web בעולם. בטלגרם אישרו את הפרטים ותיקנו את החולשה כמה ימים לאחר מכן, ב-13 במרס. "לשמחתנו, שתי החברות הגיבו במהירות ובאחריות לתיקון החולשה", אמר ואנונו. למשתמשי ווטסאפ וטלגרם שרוצים לוודא כי הם משתמשים בגרסה העדכנית ביותר לאחר התיקון, מומלץ להפעיל מחדש את הדפדפן. 

בתשובה לשאלת "הארץ" הסבירו בצ'קפוינט כי לא מדובר בבעיות בפרוטוקול Signal שמשמש את שתי האפליקציות, ועלה לאחרונה לכותרות בעקבות פרסום מסמכי ה-CIA בידי ויקיליקס. ארגון הדליפות רמז כאילו הסוכנות הצליחה למצוא "מעקפים", ובתחילה עיתונאים רבים דיווחו כי היה מדובר בפיצוח של ההצפנה. למעשה, ב-CIA הצליחו לעקוף את הההצפנה אך ורק במקרה של הדבקה והשתלטות על הטלפון כולו.

בצ'קפוינט הסבירו כי ווטסאפ וטלגרם משתמשות בהצפנה מקצה לקצה ((end-to-end encryption כאמצעי אבטחה, שנועד להבטיח כי רק שני הצדדים שמתקשרים זה עם זה חשופים להודעות, ולא שום גורם אחר בתווך. חוקרי צ'ק פוינט, ערן וקנין, רומן זאיקין ודקלה ברדה  גילו כי דווקא ההצפנה מנה מטלגרם ווטסאפ לדעת מה תוכן וסוג הקובץ היוצא, ועל כן לא יכולות היו לזהות ולחסום תכנים וקבצים זדוניים. כעת לאחר תיקון החולשה, סוג הקובץ הנשלח ייבחן על ידי החברות עוד לפני ההצפנה. 

WhatsApp הוא שירות ההודעות הנפוץ בעולם כיום, עם יותר ממיליארד משתמשים. גרסת ה-Web של החברה זמינה בכל הדפדפנים הפופולריים. לטלגרם יש יותר מ-100 מיליון משתמשים פעילים בחודש, ותעבורה של יותר מ-15 מיליארד הודעות ביום. 

מוואטסאפ נמסר בתגובה: "אנחנו בונים את ווטסאפ במטרה לשמור על אנשים ועל המידע שלהם מאובטח. כאשר צ'ק פוינט דיווחה על הנושא, טיפלנו בו תוך יום ושחררנו עדכון לווטאספ עבור האינטרנט. כדי לוודא שימוש בגרסא האחרונה, יש להפעיל מחדש את את הדפדפן".  

 



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות