עם יותר מ-1.5 מיליארד משתמשים פעילים בחודש, אין עוררין על כך שוואטסאפ היא אחת מהאפליקציות הפופולאריות והשימושיות ביותר בעולם. הבעיה היא, שהטייטל היוקרתי הזה גורם להאקרים (ולחוקרי אבטחה) לעשות הכל כדי למצוא בה חורים. האחרון להוכיח את הפוטנציאל הבעייתי של האפליקציה הוא חוקר האבטחה הישראלי גל ויצמן, שמצא מספר פרצות בגרסת הדסקטופ של האפליקציה שמאפשרות לתעתע במשתמשים כדי לגרום להם ללחוץ על לינקים – שרק נראים תמימים.
רוב המשתמשים – לא יבחינו בהבדל
לאחר שביצע מספר ניסויים בשינוי הקוד באפליקציה, גילה גל ויצמן, חוקר אבטחה ומומחה JavaScript מ-PerimeterX, פרצות אבטחה בוואטסאפ. הפרצות שגילה בעייתיות מכיוון שהן מאפשרות לשנות את תוכן הודעות הטקסט ושל קישורים המופיעים בליווי תצוגה מקדימה לתוכן מזוייף שמפנה את המשתמשים לאתרים זדוניים.
בוואטסאפ, כאשר שולחים לינקים, לרוב מופיעה מעל כתובת ה-URL תצוגה מקדימה עם אייקון של האתר אליו מקשרים, לצד הסבר קצר עליו שנמשך באופן אוטומטי. כפי שניתן לראות בתמונה, האייקון שמופיע בתצוגה המקדימה אכן נראה מוכר ושייך לפייסבוק, אבל מבט זריז ל-URL – מראה שהוא ממש לא מוביל לעמוד פייסבוק. אמנם כבר בשלב הזה אנשים רבים יקליקו על הכתובת הבעייתית, אבל ויצמן עלה שלב והצליח לפצח כיצד ניתן להציג לינק שנראה עוד יותר אמין.
התוצאה הסופית – לינק שנראה כאילו הוא מקשר לפייסבוק, אבל שימו לב שאחרי ה-@ מופיעה כתובת bit.ly, שמעבירה את המשתמש ליעד אחר לגמרי.
ויצמן הצליח למצוא פרצת קידוד חוצה אתרים (XSS) בגרסת הדסקטופ של וואטסאפ, שבשילוב עם חור במדיניות אבטחת התוכן (CSP- Content Security Policy) שלה וניצול של חולשה נוספת באפליקציה, איפשרו לו להצליח להשיג הרשאות קריאה ממערכת הקבצים המקומית ב-Windows וב-Mac ולבצע שינויים בהודעות.
עוד ב-Geektime
יש לכם נורות של Philips Hue? כל הבית שלכם היה פרצת אבטחה אחת גדולה
גוגל מוכיחה עכשיו בעצמה שכדאי לכם יותר לפתח ל-iOS
הוא הצליח לבצע את המתקפות הללו על ידי שינוי קוד ה-JavaScript של הודעה – עוד לפני מסירתה לנמען. דרך פלטפורמת הדסקטופ של היישום, ויצמן מצא את הקוד בו נוצרות הודעות, וגילה כי ניתן לשנות אותו מבלי לפגוע בפעילותה השוטפת של האפליקציה. פעולה זו עקפה פילטרים ושלחה את ההודעה החדשה והזדונית דרך האפליקציה כרגיל. כמובן שהפוטנציאל עבור התוקפים הוא עצום והם יכלו לנצל את הפרצה הבעייתית הזו למטרות פישינג, להפצת תוכנות זדוניות וכופר או כל דבר זדוני אחר.
אוקיי, אז מה עושים?
כיום, מרבית הדפדפנים מבוססי כרומיום כוללים מנגנוני הגנה שיודעים להתמודד עם שינויים שכאלו ב-JavaScript. עם זאת, דפדפנים אחרים כמו Safari של אפל ו-Edge (הגרסה הישנה, לא זו המבוססת על כרומיום) של מיקרוסופט, חשופים לחלוטין לסוג זה של התקפות.
ויצמן יידע את פייסבוק, חברת האם של וואטסאפ בדבר הפרצה בחודש דצמבר, וזו שחררה עדכון אבטחה שסגר את הפרצה לאחר כחודש. אגב, על פי פייסבוק, נראה כי הקורבנות הפוטנציאליים העיקריים של המתקפה היו דווקא משתמשי אייפון שהחזיקו בגרסאות ישנות יותר מ-2.20.10. לכן, ההמלצה העיקרית היא לעדכן כל הזמן לגרסאות העדכניות ביותר – הן של הדפדפנים והן של היישומים השונים.
פרטים טכניים נוספים על הפרצה כאן.