واجه WhatsApp نقاط ضعف خطيرة للغاية في السنوات الأخيرة. أحدها ، وهو الأخطر ، سمح بالوصول إلى محادثات وصور أي مستخدم فقط عن طريق إجراء مكالمة فائتة من خلال التطبيق. الآن ، سمحت ثغرة أخرى للمهاجمين بالحصول على البيانات الشخصية .
تم تفصيل هذا اليوم بواسطة Check Point Research ، الذي اكتشف ثغرة أمنية في WhatsApp يصعب جدًا استغلالها. لهذا ، من الضروري وجود تفاعل عالي من جانب المستخدم. يؤثر الخطأ على مرشح صور WhatsApp ، والذي تم تنشيطه عندما يفتح المستخدم الصورة المرفقة لتطبيق المرشحات. يمكن تعديل هذه الصورة لتحتوي على تعليمات برمجية ضارة. إذا قام المستخدم بتحرير الصورة ، فقد يؤدي ذلك إلى حدوث تعليق في التطبيق والسماح بالوصول إلى الذاكرة.
صورة GIF بسيطة لتطبيق WhatsApp للتعليق
عثر الباحثون على الثغرة الأمنية عندما كانوا يختبرون تعديلات ضارة على تنسيقات الصور مثل BMP و ICO و GIF و JPEG و PNG . يتم إجراء التعديلات باستخدام AFL Fuzzer ، والذي يعدل الملفات بطريقة يمكن أن يتعطل البرنامج عند تنفيذه ، مما يؤدي إلى نتائج غير متوقعة. في تلك الحوادث يمكن اكتشاف ثغرة أمنية جديدة.
لذلك ، كانوا يجرون اختبارات في أجزاء مختلفة من التطبيق ، وقرروا اختبار مرشحات الصور. في هذه الوظيفة ، يتم تعديل وحدات البكسل في الصور عندما نطبق مرشحًا ، مثل التمويه ، وإضافة التفاصيل ، وتغيير اللون ، وما إلى ذلك. هذا يجعلهم مرشحين مثاليين لإيقاف التطبيق ، نظرًا لوجود العديد من العمليات الحسابية والتعديلات التي يجب إجراؤها في الملف ، حيث إذا وجد التطبيق شيئًا غير متوقع ، فقد يتعطل. في هذه الحالة ، أدى التبديل بين المرشحات المختلفة على ملفات GIF المعدلة في WhatsApp إلى تعطل WhatsApp.
بعد مراجعة الأعطال ، اكتشفوا ثغرة في تلف الذاكرة. قبل متابعة التحقيق ، أرسلوه إلى WhatsApp ، وخصصوا له الرمز CVE-2020-1910 . يكمن الخطأ في جزء من رمز WhatsApp حيث يتوقع التطبيق العثور على كل بكسل مخزّن في 4 بايت. قام الباحثون بتخزين بكسل واحد لكل بايت ، مما تسبب في تعطل التطبيق عند محاولة القراءة من منطقة غير محددة من الذاكرة.
تواصلت Check Point Research مع WhatsApp في 10 نوفمبر 2020 لإبلاغهم بالثغرة الأمنية ، وقامت الشركة بإصلاحها في الإصدار 2.21.1.13 الذي تم إصداره في 21 يناير. لذلك ، إذا كان لديك هذا الإصدار أو إصدار لاحق ، فأنت محمي حاليًا من الثغرة الأمنية. يدعي WhatsApp أنه لم يكتشف أي استخدام للثغرة الأمنية. تدعي الشركة أن التطبيق لا يزال آمنًا تمامًا ، وأن تشفير WhatsApp من طرف إلى طرف لم يتأثر وليس لديهم دليل على أن شخصًا ما قد استغل هذه الثغرة الأمنية.
الاتحاد الأوروبي يغرم WhatsApp 225 مليون يورو
اليوم ، فرض الاتحاد الأوروبي غرامة قدرها 225 مليون يورو على فيسبوك لعدم تقديمه تفاصيل للمقيمين الأوروبيين حول كيفية جمع بياناتهم وماذا يفعل بهم على WhatsApp ، في انتهاك للائحة العامة لحماية البيانات (GDPR) في عام 2018 . تمثل الغرامة 0.8٪ من أرباح فيسبوك في عام 2020 ، وهي ثاني أعلى غرامة تم فرضها بتطبيق اللائحة العامة لحماية البيانات بعد تلك المفروضة على أمازون في لوكسمبورغ مقابل 746 مليون يورو.