ראשיגלובס פיננסיכל הכותרותשוק ההון והשקעותנדל''ן ותשתיותמשפטטכנולוגיהגלובליניהול וקריירהדעותשיווק ופרסוםמגזין Gתרבותוול סטריט ג'ורנל
טכנולוגיה צ'ק פוינט מזהירה: כך ניתן לזייף הודעות בוואטסאפ
ראשי
גלובס פיננסי ראשי מניות מניות בחו''ל ארביטראז' אופציות מט''ח אג''ח ק. נאמנות קרנות סל חוזים עתידיים מכירות בשורט מדריכים פיננסיים כלכלת ישראל
כל הכותרות המומלצות העיתון הדיגיטלי
שוק ההון והשקעות נדל''ן ותשתיות משפט טכנולוגיה גלובלי ניהול וקריירה תרבות
מדורים נוספים שיווק ופרסום בארץ דעות מגזין G The Wall Street Journal המשרוקית
פודקאסטים
תיק אישי
English Website גלובס ועידות וכנסים
גלובס שלי נושאים שמעניינים אותי כתבות ששמרתי הניוזלטרים שלי ספריית הכתבות שקראתי תיק ההשקעות שלי אודות

אודות גלובס

גלובס על גלובס דוח אמון 2022

פרוייקטים ושיתופי פעולה

שלומות עיצוב נדל''ן אימפקט לכל הפרויקטים
רכישת מינוי גלובס שאלות ותשובות שירות למנויים נגישות הגדרות לוח גלובס יצירת קשר פרסמו אצלנו תנאי שימוש מדיניות פרטיות
זיוף

צ'ק פוינט מזהירה: כך ניתן לזייף הודעות בוואטסאפ

החוקרים גילו שניתן לשלוח וואטסאפ הודעות מזויפות, להתחזות לאדם אחר ואף למנוע קבלת הודעות • וואטסאפ: "אנחנו מתמודדים עם אתגר המידע המטעה באופן רציני"

טל שחף 08.08.2018
וואטסאפ/ צילום: shutterstock
וואטסאפ/ צילום: shutterstock

חוקרים בחברת צ'ק פוינט הישראלית הודיעו הבוקר על חולשות מסוכנות שחשפו באפליקציית המסרים וואטסאפ, שמאפשרות לתוקף לשלוח הודעות מזויפות, להתחזות לאדם אחר, ואף למנוע קבלת הודעות מסוימות מהנמען או מהקבוצה שבה הופצה הודעה כלשהי. באמצעות הודעות מזויפות אלה ניתן להתחזות לאדם אחר ולשלוח הודעות מטעות, וניתן למנוע קבלת הודעות מנמענים או לשלוח הודעות מזויפות לנמענים מסוימים בקבוצה. שימוש לרעה בחולשות האלה פותח פתח נרחב למניפולציות על משתמשים ולדגירת התנהגות תוקפנית והרסנית.

  • זיוף הודעות בווטסאפ

    זיוף הודעות בווטסאפ

  • זיוף הודעות בווטסאפ

    זיוף הודעות בווטסאפ

  • זיוף הודעות בווטסאפ

    זיוף הודעות בווטסאפ

 

חוקרי צ'ק פוינט מצאו שמדובר בשלוש חולשות משמעותיות: תוקף מיומן יכול לערוך מחדש הודעה שכבר נכתבה, להתחזות לאותו אדם תמים, ולשלוח טקסט אחר כאילו האדם שלח אותו. בשיטה דומה יכול התוקף לשנות את שמו של שולח ההודעה וכך לגרום לשאר השותפים לשיחה לחשוב שמישהו אחר כתב את ההודעה. בשיטה השלישית יכול התוקף לשלוח הודעה פרטית, כולל טקסט, תמונה או וידאו, לאחד מחברי הקבוצה אישית, אבל ההודעה תיראה כאילו נשלחה לכלל חברי הקבוצה. אם הנמען, קורבן המתקפה, מגיב להודעה (לפעמים בחמת זעם) יראו אותה כל חברי הקבוצה למרות שלא ראו את ההודעה הפרובוקטיבית שקדמה לה.

החולשות האלה מאפשרות אינספור מניפולציות על משתמשי וואטסאפ תמימים, שעלולות להגיע גם לפעילות פלילית, סחיטה, או כמו שכבר קרה - התאבדות או רצח.

מנהל מחלקת מחקר חולשות בצ'ק פוינט, עודד ואנונו, אומר בשיחה עם "גלובס", כי לאחר שהחברה הודיעה על החולשות לוואטסאפ, היא נענתה שאין ביכולתה של וואטסאפ לתקן את הבעיה מידית שכן היא קשורה במבנה האפליקציה והפיצ'רים שהיא מציעה. "מכיוון שהיו אנשים שנרצחו בגלל הודעות פייק בוואטסאפ בהודו ובברזיל, ובגלל שברחבי העולם הוואטסאפ הוא אמצעי קביל כראייה בבתי משפט, החלטנו שזה לא דבר שאנחנו יכולים לשמור, ושאנחנו חייבים להודיע לציבור במטרה שאנשים יפתחו מודעות ויחשבו פעמיים לפני שהם מגיבים על הודעות דרמטיות".

כך זה עובד:

כיום מועברים באמצעות וואטסאפ 56 מיליארד הודעות ביום, בין 1.5 מיליארד משתמשים ובמסגרת כמיליארד קבוצות. מה שהופך את המערכת לזירה אדירת ממדים לביצוע הונאות ושימוש לרעה בהודעות מזויפות.

בצ'ק פוינט לא יודעים להגיד אם האקרים כלשהם כבר עשו שימוש בחולשה הזו כדי להטות התכתבויות. בקבוצת המחקר של צ'ק פוינט השתתפו גם חוקרי הסייבר דיקלה ברדה ורומן זאיקין. בעבר חשפה החברה חולשות אחרות של וואטסאפ וגם של טלגרם, שאפשרה להאקרים להשתלט על חשבונות משתמשים ולחדור אל כל המידע שלהם, ואף להשתיל קוד זדוני במכשירי הטלפון שלהם. תקלות אלה תוקנו מידית.

דובר של וואטסאפ מסר: "בחנו בתשומת לב רבה את הנושא והוא מקביל לזיוף דוא"ל. מה שצ'ק פוינט גילתה אינו קשור באבטחה המקיפה מצד לצד של המערכת, שמבטיחה שרק השולח והנמען יכולים לקרוא את ההודעה. אנחנו מתמודדים עם אתגר המידע המטעה באופן רציני, ולאחרונה הוספנו מגבלה על כמות התוכן שניתן להעביר לנמענים נוספים, הוספנו תווית להודעות מועברות לנמענים נוספים, וערכנו סדרה של שינויים בצ'אט הקבוצתי. אנחנו יכולים לחסום חשבונות שמנסים לשנות הודעות ולשלוח ספאם, ואנחנו עובדים עם החברה האזרחית במספר מדינות כדי לחנך אנשים לגבי הודעות פייק והונאות".