ثغرة تخترق تطبيق واتساب.. وميتا ترفض التعليق

تمكن مجموعة من المخترقين في التغلب على إصلاح أطلقه تطبيق "واتساب" مؤخراً لسد ثغرة متعلقة بإتاحة حفظ الرسائل التي من المفترض أن تختفي بعد مشاهدتها لمرة واحدة.

Screenshot 20240919 092050 com.huawei.browser edit 172547510546586

أجرى تطبيق واتساب تعديلاً في الكود البرمجي لجعل تجاوز ميزة “العرض مرة واحدة” أكثر صعوبة، وبدت هذه المحاولة ناجحة في البداية، حيث اشتكى مستخدمو برامج استغلال الثغرة من تعطل إضافات حفظ المحتوى.

جاء ذلك بعد تمكن مجموعة من المخترقين في التغلب على إصلاح أطلقه تطبيق “واتساب” مؤخراً لسد ثغرة متعلقة بإتاحة حفظ الرسائل التي من المفترض أن تختفي بعد مشاهدتها لمرة واحدة، والاطلاع عليها بعد مرور أسبوع على تبادل تلك الرسائل المرسلة بميزة “View Once”.

استعادة الرسائل

وكشفت شركة زينجو الناشئة، المتخصصة في المحافظ الرقمية، عن طرق لاستعادة الرسائل التي كان من المفترض أن تكون قد اختفت، بحسب بيان رسمي.

وأبلغت زينجو عن هذه الثغرة الأمنية عبر برنامج مكافآت الثغرات الخاص بشركة ميتا في أغسطس الماضي، لكنها لم تتلق أي رد، وبعد رصد برامج عديدة تم تصميمها لاستغلال هذه الثغرة، نشرت زينجو تفاصيل الثغرة علناً في تدوينة على موقعها الرسمي.

موقف ميتا

أوضحت الشركة أن خوادم واتساب كانت تتعامل مع رسائل “العرض مرة واحدة” كرسائل عادية، مع إضافة علامة “عرض مرة واحدة فقط”، وكان بإمكان التطبيقات الخبيثة تجاوز ذلك والاطلاع على محتوى الرسائل.

ورفضت ميتا التعليق على هذه المسألة، لكن مصادر مطلعة أفادت بأن الإصلاح الحالي كان إجراءً مؤقتاً، وأنه يجري العمل على تحديث برمجي شامل.

وتم إطلاق ميزة “View Once” في أغسطس 2021 كإجراء اختياري لحماية الخصوصية، بحيث يمكن للمستخدم تبادل الصور والفيديوهات والرسائل الصوتية، وتختفي بعد الاطلاع عليها لمرة واحدة.

العرض مرة واحدة

لكن عند إعادة فحص الثغرة، وجدت زينجو أن تحديث ميتا لم يكن كاملاً، وأن أصل المشكلة لا يزال قائماً، ما يعني أن المحتالين بإمكانهم الاحتفاظ بمحتوى الرسائل المرسلة بميزة “العرض مرة واحدة”.

وكتب المؤسس المشارك لـ “زينجو”، تال بئيري، في تدوينة يوم الاثنين الماضي: “بالرغم من أن الإصلاح كان خطوة جيدة في الاتجاه الصحيح من ميتا، إلا أنه لا يزال غير كافٍ”.

استغلال الثغرة

وأوضح أن المشكلة الأساسية تكمن في أن الرسائل المتبادلة بين المستخدمين، تحتوي على جميع البيانات اللازمة للاطلاع عليها وحفظها، بحيث يمكن لأي شخص استعراض محتوى الرسائل.

وأكد بئيري أنهم أثبتوا استمرار إمكانية استغلال الثغرة، ما يعني أن آخرين قد يتمكنون من ذلك أيضاً، وأفاد أحد مطوري برامج استغلال الثغرة بأنهم وجدوا طريقة للالتفاف على التحديث، وسيتم نشر تحديث جديد من برامج التحايل قريباً.