واتساب تصلح ثغرة خطيرة في نسخة الويب “واتساب ويب”
أصلحت خدمة التراسل الفوري الشهيرة “واتساب” ثغرة خطيرة في نسخة الويب “واتساب ويب” كان من الممكن استغلالها لخداع المستخدمين لتثبيت برمجيات خبيثة، وفقًا لشركة “تشك بوينت” Check Point.
وقال أودد فانونو، مدير الأبحاث الأمنية لدى “تشك بوينت” إن الثغرة كانت ستضر بما يزيد على 200 مليون شخص ممن يستخدمون خدمة “واتساب ويب”. وأضاف “كان كل ما يحتاج مهاجم لفعله لاستغلال الثغرة هو إرسال جهة اتصال تحوي شفرة خبيثة للمستخدم”.
وكان الباحث، كاسيف دكل من “تشك بوينت” هو من اكتشف الثغرة، فقد وجد أن نسخة الويب من خدمة التراسل واتساب فشلت في تصفية “فلترة” بطاقات الأعمال الإلكترونية المرسلة بصيغة vCard، التي تُستخدم لتبادل بيانات جهات الاتصال بين مستخدمي الخدمة.
واكتشف دكل أنه من الممكن تغيير امتداد الملف من vCard إلى .bat، أو سكريبت تنفيذي، فتظن واتساب أن المستخدم يستقبل بطاقة vCard عادية، بينما في الواقع هو يستقبل شفرة تنفيذية.
وأوضح دكل “هذا يعني أنه عندما تنقر الضحية على الملف القابل للتنزيل – الذي يُفترض أنه بطاقة جهة اتصال – تقوم الشفرة بداخل الملف التنفيذي بالعمل على جهاز الحاسب”. وأشار إلى أن كل ما يحتاجه مهاجم هو رقم الهاتف الخاص بالمستخدم لإرسال الشفرة الخبيثة ولدفع الضحية لقبول البطاقة.
وكانت شركة “تشك بوينت” قد اكتشفت الثغرة في 21 آب/أغسطس الماضي، لتقوم واتساب بتحديث نسخة الويب “واتساب ويب” بتاريخ 27 آب/أغسطس إلى الإصدار الذي يحمل الرقم v0.1.4481.
