חברת צ’ק פוינט התריעה באחרונה בפני חברת וואטסאפ על חולשה באפליקצייה לדפדפן. בחברה הבהירו מיד כי על משתמשי וואטסאפ web לעדכן את התוכנה לגירסה האחרונה כדי להבטיח את ההגנה הראויה.

הממשק וואטסאפ Web הוא הרחבה מבוססת דפדפן של האפליקציה בטלפון. אפליקציה אינטרנטית זו משקפת את כל ההודעות שנשלחו ושהתקבלו ומסנכרנת באופן מלא בין הסמארטפון והמחשב השולחני, על מנת לאפשר למשתמש לראות את כל ההודעות בכל אחד מהמכשירים.

האפליקציה וואטסאפ Web זמינה עבור רוב הפלטפורמות שנתמכות על ידי ווטסאפ: אנדרואיד, iOS, ווינדוס-פון, בלקברי, BB10 וכן נוקיה. בחודש ספטמבר 2015 הכריזה וואטסאפ, כי הגיעה ל-900 מיליון משתמשים פעילים בחודש. לפי הערכות, לפחות 200 מיליון מהם משתמשים בממשק הוובי.

חוקר אבטחה בצ’ק פוינט, גילה לאחרונה נקודות תורפה משמעותיות אשר מנצלות לרעה את הלוגיקה של וואטסאפ Web ומאפשרות להאקרים לגרום למשתמשים תמימים להפעיל קוד זדוני שירוץ על המחשב שלהם באופן מתוחכם. כל מה שעל תוקף זדוני לעשות על מנת לנצל את נקודת התורפה הוא לשלוח למשתמש הודעת “איש קשר” (vCard) תמימה למראה אשר מכילה קוד זדוני. עם פתיחת הקובץ הוא מתגלה כקובץ הפעלה אשר יכול לשמש להפצת תוכנות זדוניות כגון סוסים טרוייאנים, רוגלות ונוזקות אחרות. כל מה שהתוקף צריך הוא רק את מספר הטלפון של המשתמש.

חולשה זו משמשת כתשתית נרחבת של אפשרויות עבור פושעי סייבר והונאה – ומאפשרת דרך קלה לביצוע דיוג (Phishing) באמצעות וואטסאפ. ניצול מסיבי של נקודת תורפה זו היה עלול לפגוע במיליוני משתמשים שלא הבינו את האופי הזדוני של הצרופה.

חברת וואטסאפ אימתה ואישרה את בעיית האבטחה ושחררה תיקון לאפליקציית הדפדפן ברחבי העולם.