كشف باحث أمن معلومات ثغرة أمنية جديدة في تطبيق واتساب أحد أبرز وأشهر تطبيقات المراسلة الفوري شيوعًا في العالم، وتتيح الثغرة الجديدة المجال للمهاجمين بالدخول إلى أجهزة المستخدمين العاملة بنظامي ويندوز وماك والاستحواذ على أي ملفات يريدونها.

وكشف الباحث غال ويزمان Gal Weizman اليوم الأربعاء، أنه استخدم خبرته في JavaScript للعثور على نقاط ضعف متعددة في واتساب الذي كان يعتقد أنه آمنًا، مما قد يترك المستخدمين عرضة لخطر الهجمات من خلال السماح بالتلاعب بالمحتوى النصي والروابط في معاينات الموقع لعرض محتوى خاطئ وروابط معدلة تشير إلى وجهات خبيثة، بحسب البوابة العربية للأخبار التقنية.

ويمكن استخدام الثغرات الموجودة في تطبيق واتساب لسطح المكتب للمساعدة في حملات التصيد، ونشر البرامج الضارة، وربما حتى برامج الفدية، مما يعرض ملايين المستخدمين للخطر، وذلك لأن خدمة المراسلة تضم حالياً أكثر من 1.5 مليار مستخدم نشط شهريًا.

ومن خلال إيجاد ثغرة في سياسة أمان المحتوى (CSP) المستخدمة من قبل واتساب، تمكن الباحث من استغلال البرمجة النصية للمواقع (XSS) على تطبيق سطح المكتب لخدمة المراسلة، الأمر الذي سمح له بالحصول على أذونات القراءة من نظام الملفات المحلي على تطبيق سطح المكتب لكل من ويندوز وماك.

ويمكن للمتطفلين من خلال استغلال هذه العيوب استهداف المستخدمين باستخدام تعليمات برمجية ضارة أو روابط تم حقنها في رسائلهم، ومما زاد الطين بلة، أن تنبيهات الرسائل هذه ستكون غير مرئية تمامًا للعين غير المدربة.

ويتم إجراء هذه الأنواع من الهجمات عن طريق تعديل تعليمات JavaScript لرسالة واحدة قبل تسليمها إلى المستلم.

وكان ويزمان كشف العام الماضي عن ثغرة أمنية مشابهة في تطبيق فيسبوك، لكنه أبلغ فريق أمان فيسبوك عن هذه المشكلات، والذي صحح العيوب، وأصدر نسخة محدثة من تطبيق سطح المكتب، كما كافأ ويزمان بمبلغ 12500 دولار في إطار برنامج مكافآت الأخطاء للشركة.

وقال متحدث باسم الشركة: نحن نعمل بانتظام مع كبار الباحثين في مجال الأمن لحماية مستخدمينا من التهديدات المحتملة، وأصلحنا المشكلة التي قد تؤثر نظريًا على مستخدمي آيفون الذين نقروا على رابط ضار أثناء استخدام واتساب على سطح المكتب، وجرى إصلاح الخلل وتم تطبيقه منذ منتصف شهر ديسمبر.

وكانت شركة واتساب أعلنت مسبقًا أن قراصنة إنترنت (هاكرز) استغلوا ثغرة أمنية في تطبيق المراسلة الأكثر انتشارًا في العالم، سمحت بتثبيت برمجية خطيرة للتجسس على الهواتف المحمولة، لتضاف هذه المشكلة إلى سلسلة مشكلات تواجهها الشركة الأم فيسبوك.