انتشار جزئیات تازه‌ای از آسیب‌پذیری واتس‌اپ که دور زدن رمزگذاری سرتاسری را ممکن می‌کرد

با وجودی که واتس‌اپ ادعا می‌کند رمزگذاری سرتاسری مانع دسترسی به اطلاعات حساسی از جمله محتوای چت‌ها می‌شود، اما موسسه «CPR» ضمن انتشار جزئیات آسیب پذیری اخیر این برنامه، تایید می‌کند این فناوری نتوانسته مانع نفوذ هکرها شود.

آبان ماه سال گذشته CPR از آسیب پذیری امنیتی در پیام رسان محبوب واتس‌اپ خبر داد. هرچند این مشکل توسط واتس‌اپ بعد از گذشت چند ماه و اوایل سال جاری میلادی برطرف شد، اما اکنون این تیم تحقیقاتی با تاکید بر این موضوع که هکرها توانسته‌اند رمزگذاری سرتاسری را از طریق این آسیب پذیری دور بزنند، جزئیات بیشتری در مورد آن منتشر کرده است.

واتس‌اپ در ادامه با انتشار بیانیه‌ای ضمن تایید آسیب پذیری مذکور که امکان مشاهده تمامی چت‌ها را برای هکرها فراهم می‌کند، از CPR برای تهیه گزارش و هشدار نسبت به این باگ امنیتی تشکر کرد. هرچند این شرکت درنهایت ادعا می‌کند رمزگذاری سرتاسری این برنامه امنیت لازم را دارد، با این وجود محققان CPR نظر دیگری دارند.

اگرچه دسترسی به اطلاعات حساس کاربران اعم از محتوای تمامی چت‌‌ها از طریق این آسیب پذیری فرآیندی چند مرحله‌ای است و پیچیده‌ به نظر می‌رسد، اما در حقیقت به راحتی قابل انجام است و محققان CPR نیز در فرآیند بررسی این آسیب پذیری، بدون مشکل خاصی توانستند به چنین اطلاعاتی دست پیدا کنند.

در این فرآیند برای آنکه هکر بتواند به اطلاعات چت‌های کاربر دسترسی پیدا کند، ابتدا لازم است از طریق قابلیت پیوست تصویر، عکسی را برای کاربر مورد نظر خود که قصد هک کردن اطلاعات او را دارد، ارسال کند. معمولا هکرها از تصویری مخدوش یا تار برای این کار استفاده می‌کنند. وب‌سایت CPR نمونه‌ای از این تصویر را به اشتراک گذاشته است.

در قدم بعدی کاربر مجبور می‌شود تصویری که با فیلترهای واتساپ دستکاری شده را برای فرستنده اول که همان هکر است ولی وی از هویت هکر بودن فرستنده بی‌خبر است، مجددا ارسال کند. با ارسال تصویر، فرستنده یعنی همان هکر می‌تواند از آسیب پذیری مربوطه استفاده کرده و به اطلاعات حساس کاربر اعم از محتوای چت‌ها دسترسی داشته باشد.

این سناریو با وجودی که ظاهرا مراحل پیچیده‌ای دارد،‌ اما اجرای آن می‌تواند ساده باشد و هکر می‌‌تواند به راحتی کار را پیش ببرد. تیم تحقیقاتی CPR فیلترهای مختلفی را روی فایل تصویر ارسال شده امتحان کرده‌اند. آنچه روشن است، رمزگذاری سرتاسری در این روش قابل دور زدن است و اطلاعات حساس کاربر در دسترس هکرها قرار می‌گیرد.

موسسه تحقیقاتی CPR در تاریخ ۱۰ نوامبر ۲۰۲۰ در مورد این آسیب پذیری به واتس‌اپ هشدار داد و این باگ امنیتی اوایل سال جاری برطرف شد. در حال حاضر نسخه ۲.۲۱.۱.۱۳ واتس‌اپ چنین باگ امنتیتی ندارد و مشکل برطرف شده است.