חוקר ישראלי מדגים פרצת אבטחה חמורה בוואטסאפ

החוקר גילה כי האקרים יכולים לשנות את תוכן ההודעות הנשלחות בגרסת הדסקטופ וה-Web של האפליקציה כדי שאלו יכללו קישורים זדוניים, שרוב האנשים לא יחשדו בהם

whatsapp

מקור: Whatsapp

עם יותר מ-1.5 מיליארד משתמשים פעילים בחודש, אין עוררין על כך שוואטסאפ היא אחת מהאפליקציות הפופולאריות והשימושיות ביותר בעולם. הבעיה היא, שהטייטל היוקרתי הזה גורם להאקרים (ולחוקרי אבטחה) לעשות הכל כדי למצוא בה חורים. האחרון להוכיח את הפוטנציאל הבעייתי של האפליקציה הוא חוקר האבטחה הישראלי גל ויצמן, שמצא מספר פרצות בגרסת הדסקטופ של האפליקציה שמאפשרות לתעתע במשתמשים כדי לגרום להם ללחוץ על לינקים – שרק נראים תמימים.

רוב המשתמשים – לא יבחינו בהבדל

לאחר שביצע מספר ניסויים בשינוי הקוד באפליקציה, גילה גל ויצמן, חוקר אבטחה ומומחה JavaScript מ-PerimeterX, פרצות אבטחה בוואטסאפ. הפרצות שגילה בעייתיות מכיוון שהן מאפשרות לשנות את תוכן הודעות הטקסט ושל קישורים המופיעים בליווי תצוגה מקדימה לתוכן מזוייף שמפנה את המשתמשים לאתרים זדוניים.

בוואטסאפ, כאשר שולחים לינקים, לרוב מופיעה מעל כתובת ה-URL תצוגה מקדימה עם אייקון של האתר אליו מקשרים, לצד הסבר קצר עליו שנמשך באופן אוטומטי. כפי שניתן לראות בתמונה, האייקון שמופיע בתצוגה המקדימה אכן נראה מוכר ושייך לפייסבוק, אבל מבט זריז ל-URL – מראה שהוא ממש לא מוביל לעמוד פייסבוק. אמנם כבר בשלב הזה אנשים רבים יקליקו על הכתובת הבעייתית, אבל ויצמן עלה שלב והצליח לפצח כיצד ניתן להציג לינק שנראה עוד יותר אמין.

הניסיון הראשון

התוצאה הסופית – לינק שנראה כאילו הוא מקשר לפייסבוק, אבל שימו לב שאחרי ה-@ מופיעה כתובת bit.ly, שמעבירה את המשתמש ליעד אחר לגמרי.

התוצאה הסופית והמוצלחת יותר. רלוונטית למשתמשי וואטססאפ ב-iOS/Android/Windows Desktop/Mac Desktop ו-Web.

המקום שלכם לעדכן ולהתעדכן המקום שלכם לעדכן ולהתעדכן להצטרפות לקבוצת הפייסבוק הסגורה של גיקטיים, לחצו כאן

ויצמן הצליח למצוא פרצת קידוד חוצה אתרים (XSS) בגרסת הדסקטופ של וואטסאפ, שבשילוב עם חור במדיניות אבטחת התוכן (CSP- Content Security Policy) שלה וניצול של חולשה נוספת באפליקציה, איפשרו לו להצליח להשיג הרשאות קריאה ממערכת הקבצים המקומית ב-Windows וב-Mac ולבצע שינויים בהודעות.

הוא הצליח לבצע את המתקפות הללו על ידי שינוי קוד ה-JavaScript של הודעה – עוד לפני מסירתה לנמען. דרך פלטפורמת הדסקטופ של היישום, ויצמן מצא את הקוד בו נוצרות הודעות, וגילה כי ניתן לשנות אותו מבלי לפגוע בפעילותה השוטפת של האפליקציה. פעולה זו עקפה פילטרים ושלחה את ההודעה החדשה והזדונית דרך האפליקציה כרגיל. כמובן שהפוטנציאל עבור התוקפים הוא עצום והם יכלו לנצל את הפרצה הבעייתית הזו למטרות פישינג, להפצת תוכנות זדוניות וכופר או כל דבר זדוני אחר.

אוקיי, אז מה עושים?

כיום, מרבית הדפדפנים מבוססי כרומיום כוללים מנגנוני הגנה שיודעים להתמודד עם שינויים שכאלו ב-JavaScript. עם זאת, דפדפנים אחרים כמו Safari של אפל ו-Edge (הגרסה הישנה, לא זו המבוססת על כרומיום) של מיקרוסופט, חשופים לחלוטין לסוג זה של התקפות.

ויצמן יידע את פייסבוק, חברת האם של וואטסאפ בדבר הפרצה בחודש דצמבר, וזו שחררה עדכון אבטחה שסגר את הפרצה לאחר כחודש. אגב, על פי פייסבוק, נראה כי הקורבנות הפוטנציאליים העיקריים של המתקפה היו דווקא משתמשי אייפון שהחזיקו בגרסאות ישנות יותר מ-2.20.10. לכן, ההמלצה העיקרית היא לעדכן כל הזמן לגרסאות העדכניות ביותר – הן של הדפדפנים והן של היישומים השונים.

פרטים טכניים נוספים על הפרצה כאן.

Avatar

הילה חיימוביץ׳

גיקית, Deal With It

הגב

8 תגובות על "חוקר ישראלי מדגים פרצת אבטחה חמורה בוואטסאפ"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
חוקר אבטחת מידע
Guest
חוקר אבטחת מידע

כל הסיפור הזה בשביל לשנות תוכן בתצוגה מקדימה ? אפשר להשתמש ב redirect עם cloaker שנמכר ב 100 דולר בחודש …

אהרון
Guest

איזה תשובה, זה אומר שאתה יודע.
אבל מה עם כל מי שלא?
“חוקר”

חוקר אבטחת מידע
Guest
חוקר אבטחת מידע

כל אלה שלא יודעים נופלים ל fake news, באותה שיטה מוכרים לנו scams באינטרנט דרך פיסבוק גוגל ועוד רשתות פרסום, ושם מסתתר האיון האמיתי, האנשים שנופלים באינטרנט גם לא קוראים את geektime , זה pr של חברת פרמיטר איקס שלא באמת מוצאת יחודיות או חדשות, בגדול רק ציינתי שאין שום דבר מעננין במה שהוא מצא, וזה לא pr חיובי למי שמבין קצת קצת אינטרנט …

תקרא את הפוסט
Guest

מזל שמדינת ישראל מלאה באנשים גאונים ומפרגנים כמוך, שלא ממש צריכים להתעמק ולקרוא את הפוסט או להבין אותו.
אז לא, זה לא רק redirect עם cloaker.
פייסבוק לא כל כך חסרי הבנה בסקיוריטי כשהם אישרו את הפרצה כחמורה ונתנו עליה bounty גדול, וה-CVE שהם פתחו קיבל ציון של 8.2.
אבל זה טריויאלי, אני בטוח שלך יש עשרות כאלה בשרוול.

דניאל
Guest

יש סיבה שלא ציינתם שגם פיירפוקס חסין למתקפות כאלו?

תקרא את הפוסט
Guest

הפרצה היא באפליקצית דסקטופ של ווטסאפ, לא בדפדפן. והאפליקציה מבוססת על כרומיום, לא על פיירפוקס.

tomer
Guest

חלש אחי, חלש…

זיו שיאון
Guest

ישראלים הכי חכמים. לא משנה מה יאמרו

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל