ست ثغرات رئيسية في تطبيق واتساب

بدأ تطبيق التواصل الاجتماعي الشهير "واتساب" المملوك لشركة "Facebook"، الشهر الجاري، نهجا أكثر انفتاحا، لإعلام المستخدمين بالعيوب التي كُشف عنها في تنزيل iOS و"Android". وللبدء مع "واتساب"، كُشف عن سلسلة من المشكلات التي تضمنت الملصقات ومكالمات الفيديو وتطبيق "واتساب ديسك توب".

وحدد "واتساب" على موقع ويب مخصص للأمان أُنشئ حديثا، نقاط الضعف الست - أُصلح خمسة منها في يوم واحد، بينما استغرق الخلل الأخير وقتا أطول لحلها.

وقالت "واتساب" إنه يمكن تشغيل بعض الأخطاء عن بُعد، ولكنهم لم يعثروا على دليل على أن المتسللين تمكنوا من استغلال نقاط الضعف بنشاط.

وأُبلغ عن عدد من الأخطاء من خلال برنامج مكافأة الأخطاء الخاص بـ"واتساب"، والذي يكافئ خبراء الأمن خارج الشركة لاكتشاف نقاط الضعف الأمنية. بينما اكتُشف البعض الآخر من خلال مراجعات التعليمات البرمجية الروتينية، وباستخدام الأنظمة الآلية.

وتمحور أحد العيوب، الذي أطلق عليه التطبيق اسم CVE-2020-1890، حول مستخدم يُرسل له "بيانات مشوهة عن عمد لتحميل صورة من عنوان URL يتحكم فيه المرسل"، وأثر آخر، اسمه CVE-2020-1891، على مكالمات الفيديو في إصدارات مختلفة من التطبيق، لنظام "Android" وiOS واتساب بزنس، وأثّر الخلل CVE-2019-11928، على مستخدمي إصدار سطح المكتب من تطبيق المراسلة، الذين نقروا على "رابط من رسالة موقع مباشر معدة خصيصا".