ثغرة في خدمة Whatsapp Web تُهدد ملايين المستخدمين

نشرت شركة Check Point البرمجية مقالًا تقنيًا، الثلاثاء 8 أيلول، حثت فيه مستخدمي خدمة Whatsapp Web على تحديث التطبيق في هواتفهم المحمولة للاستفادة من الإصلاح الذي أجرته الشركة عليه بعد اكتشاف ثغرة أمنية.

الشركة حذّرت من مشكلة في تطبيق Whatsapp يمكن أن يعرض مئات الملايين من المستخدمين للخطر، إذ يسمح لقراصنة الإنترنت بنشر البرامج الضارة بما فيها “برامج الابتزاز” التي تطلب من المستخدمين دفع مبالغ مالية ليتمكنوا من استعادة ملفاتهم المخترقة.

أود فانونو، مدير الأبحاث الأمنية لدى الشركة، قال إن الثغرة كانت ستضر ما يزيد على 200 مليون شخص ممن يستخدمون خدمة Whatsapp Web، مضيفًا “كل ما يحتاج المهاجم فعله لاستغلال الثغرة هو إرسال جهة اتصال تحوي شيفرة خبيثة للمستخدم”.

واكتشف الثغرة الباحث، كاسيف دكل، من الشركة نفسها، إذ وجد أن نسخة الويب من خدمة التراسل Whatsapp فشلت في فلترة بطاقات الأعمال الإلكترونية المرسلة بصيغة vCard، والتي تُستخدم لتبادل بيانات جهات الاتصال بين مستخدمي الخدمة.

دكل قال إنه من الممكن تغيير امتداد الملف من vCard إلى .bat أو “سكريبت تنفيذي”، فتظن شركة Whatsapp أن المستخدم يستقبل بطاقة vCard عادية، بينما يكون في الواقع يستقبل شيفرة تنفيذية.

وأوضح “هذا يعني أنه عندما تنقر الضحية على الملف القابل للتنزيل (ويُفترض أنه جهة اتصال) تعمل الشيفرة داخل الملف التنفيذي على جهاز الحاسب”، لافتًا إلى أن كل ما يحتاجه المهاجم هو رقم الهاتف الخاص بالمستخدم لإرسال الشفرة الخبيثة ودفع الضحية لقبول البطاقة.

شركة Check Point اكتشفت الثغرة 21 آب المنصرم، وأعلمت شركة Whatsapp بها لتُحدث الأخيرة نسخة الويب الخاصة بها بتاريخ 27 آب إلى الإصدار الذي يحمل الرقم v0.1.4481.

وتشير إحصاءات شركة Whatsapp إلى أن عدد مستخدمي التطبيق على الهواتف المحمولة وصل إلى 900 مليون مستخدم، كما حصل التطبيق على هواتف أندرويد على تحديث جديد مؤخرًا يتيح للمستخدم استخدام رموز تعبيرية إضافية، مع إمكانية تخصيص لون التنبيه الضوئي للمستخدم وكتم صوت المحادثة الخاصة وتخصيص نغمة تنبيه محددة.