חוקר מחברת PerimeterX מצא פרצת אבטחה חמורה בפלטפורמת הדסקטופ של WhatsApp

ביישומון וואטסאפ, אחת מאפליקציות ההודעות הנפוצות ביותר בעולם, נמצאה פרצת אבטחה חמורה העלולה לסכן משתמשים רבים. לאחר ביצוע מספר ניסויים בשינוי הקוד באפליקציה, חוקר מחברת פרימטר איקס , גל ויצמן -מומחה באבטחת סייבר וjavascript, הצליח לגלות מספר פרצות אבטחה בוואטסאפ ולחשוף את הפוטנציאל הקיים להתקפות סייבר נרחבות בקרב המשתמשים בה (CVE-2019-18426). פרצות אלה חושפות משתמשים להתקפות על ידי כך שהם מאפשרות שינוי של תוכן הודעות הטקסט ושל קישורים המופיעים כתצוגה מקדימה לכדי תוכן כוזב והפניה לאתרים זדוניים. הפעלת פרצות אלו בפלטפורמת הדסקטופ של וואטסאפ יכולה לשמש תוקפים בקמפיינים של פישינג, הפצת תוכנות זדוניות וטכניקות כופרה (ransomware) היכולות לסכן מיליוני משתמשים. לוואטסאפ יש יותר מ -1.5 מיליארד משתמשים פעילים בחודש, כך שההשלכות להתקפות אלו יהיו חמורות, ובקנה מידה גדול מאוד.

ויצמן הצליח למצוא פרצת קידוד חוצה אתרים (XSS) בפלטפורמת הדסקטופ של האפליקציה שבשילוב עם פער במדיניות אבטחת התוכן (CSP- Content Security Policy) של וואטסאפ וניצול של חולשה נוספת באפליקציה, איפשרה לו להצליח להשיג הרשאות קריאה ממערכת הקבצים המקומית בווינדוס ובמאק ולבצע שינויים בהודעות. שינויים אלו בהודעות לא יתפשו כזדוניים בעין רגילה. ההתקפות הרלוונטיות מתאפשרות על ידי שינוי קוד הjavascript של הודעה עוד לפני המסירה לנמען שלה. משמע, משתמשים עשויים להיות חשופים לחדירת קודים מזיקים או לינקים להודעות תמימות שלהם ללא ידיעתם.

דרך פלטפורמת הדסקטופ של וואטסאפ, ויצמן מצא את הקוד בו נוצרות הודעות, וכך יכל לשנות אותו ואז לתת לאפליקציה להמשיך לעבוד ולשלוח הודעות באופן רגיל. פעולה זו עקפה פילטרים ושלחה את אותה הודעה ששונתה דרך האפליקציה כרגיל, כאשר שלמשתמש הההודעה נראית מעט משונה אך לא נראית בעלת פוטנציאל נזק. עוד מצא החוקר כי ניתן לשנות את התצוגה המקדימה של הלינקים שמשתמשים משתפים עוד לפני שהם מוצגים.

מרבית הגרסאות של ה- Chromium בגוגל כרום רגישות לשינויי קוד אלו, אם כי גרסאות חדשות יחסית הן מוגנות יותר. דפדפנים אחרים, כגון ספארי, חשופים לחלוטין לסוג זה של התקפות.

ככל שעסקים מסתמכים יותר ויותר על אפליקציות להודעות חברתיות כמו וואטסאפ לצורך עבודה מול לקוחות, חשוב להישאר ערניים לסיכונים אלה. כפי שמחקר זה מראה, גופים שלישיים זדוניים יכולים לשנות תוכן ולהפנות משתמשים, תוך כדי גרימת נזק למותג וסיכון נתוני המשתמשים. ישנם כמה דברים שחברות יכולות לעשות כדי להגן על אפליקציות שהן מפתחות:

לא משנה אם נוצרים באנרים מקדימים של לינקים בצד השליחה או הקבלה באפליקציה, הסינון בצד המקבל חייב להיות קפדני. חשוב לאמת תמיד כתובות של אתרים לפני שהן נטענות בצד המקבל.

יש לוודא כי כללי ה- CSP שלך מוגדרים נכון. על ידי כך ניתן להגביל את כוחם של התוקפים לגנוב מידע חשוב מהמשתמשים.

חברות שמפתחות יישומים על בסיס ספריות ותשתיות שונות צריכים לעדכן את הגרסאות באופן שוטף. ספציפית - כשבונים מוצר המבוסס על Chromium, יש לעדכן לגרסא אחרונה, שם הפרצות מטופלות באופן שוטף. אחרת, המשתמשים נשארים חשופים לחולשות.

ישנם גם מספר צעדים שמשתמשי וואטסאפ יכולים לנקוט כדי לזהות הודעות שעברו שינויים. משתמשים יכולים לחפש טקסט שנראה כמו חלק מקוד, יותר מאשר הודעה אמיתית. ההודעה הזדונית יכולה לעבוד רק אם היא מכילה את הטקסט "javascript:”בתוכה, כך שמשתמשים צריכים להיות ערניים לטעות גלויה זו. על המשתמשים להיזהר ולהימנע מפתיחת לינקים שנשלחו על ידי חשבונות לא ידועים. באנרים מקדימים וכתובות URL יכולים להטעות - אפילו אם הם נראים לגיטימיים, המשתמשים צריכים לפתוח אותם אך ורק כאשר אם הם מתקבלים ממקור מהימן.

למידע נוסף ניתן להיכנס לבלוג החברה כאן

אודות PerimeterX

PerimeterX הינה הספקית המובילה של פתרונות אבטחת יישומים השומרים על בטיחותם והכנסותיהם של עסקים בעולם דיגיטלי מורכב. מוצרי החברה Bot Defender, Code Defender ו-Page Defender, המוצעים כשירות בענן, מאתרים סיכונים ליישומי האינטרנט והמובייל של העסק, מנהלים אותם, ומאפשרים ללקוחותיה להתמקד בצמיחה וחדשנות. PerimeterX מספקת שילוב של צוות הנדסי מובחר, צוות מחקר-אבטחה מהמובילים בעולם המעדכן באופן שוטף את פתרונות האבטחה המוצעים, ודגש בלתי-מתפשר על תמיכה שוטפת בלקוחות ע״י מומחי אבטחה. מטה החברה ממוקם בסן מטאו, קליפורניה. אתר החברה www.perimeterx.com