الواتساب هو تطبيق مراسلة شائع وسهل الاستخدام. يحتوي على بعض ميزات الأمان مثل استخدام التشفير من طرف إلى طرف للحفاظ على خصوصية الرسائل. ومع ذلك فإن الاختراقات التي تستهدف الواتساب قد تعرض خصوصية رسائلك وجهات اتصالك للخطر.
فيما يلي ثماني طرق يمكن من خلالها اختراق الواتساب.
1. تنفيذ التعليمات البرمجية عن بعد عبر GIF
في أكتوبر 2019 كشف الباحث الأمني Awakened عن ثغرة أمنية في الواتساب تسمح للمتسللين بالسيطرة على التطبيق باستخدام صورة GIF. يعمل الاختراق من خلال الاستفادة من الطريقة التي يعالج بها الواتساب الصور عندما يفتح المستخدم عرض المعرض لإرسال ملف وسائط.
عندما يحدث هذا يوزع التطبيق ملف GIF لإظهار معاينة الملف. تعتبر ملفات GIF خاصة لأنها تحتوي على إطارات متعددة مشفرة. هذا يعني أنه يمكن إخفاء الرمز داخل الصورة.
إذا أرسل أحد المتطفلين صورة GIF ضارة إلى مستخدم فيمكنه اختراق محفوظات دردشة المستخدم بالكامل. سيتمكن المتسللون من معرفة من كان المستخدم يرسل الرسائل وماذا كان يقول. يمكنهم أيضا مشاهدة ملفات المستخدمين والصور ومقاطع الفيديو المرسلة عبر الواتساب.
أثرت الثغرة الأمنية على إصدارات الواتساب التي تصل إلى 2.19.230 على الاندرويد 8.1 و 9. لحسن الحظ كشفت Awakened عن الثغرة بمسؤولية وقام الفايسبوك الذي يمتلك الواتساب بتصحيح المشكلة. للحفاظ على نفسك في مأمن من هذه المشكلة يجب عليك تحديث الواتساب إلى الإصدار 2.19.244 أو أعلى.
2. هجوم Pegasus الصوتي
تم اكتشاف ثغرة أخرى في الواتساب في أوائل سنة 2019 وهي اختراق مكالمة Pegasus الصوتية.
سمح هذا الهجوم المخيف للمتسللين بالوصول إلى جهاز ببساطة عن طريق إجراء مكالمة صوتية على الواتساب إلى هدفهم. حتى لو لم يرد الهدف على المكالمة فقد يظل الهجوم فعالا. وقد لا يدرك الهدف أنه تم تثبيت برامج ضارة على أجهزته.
عملت هذه الطريقة من خلال طريقة تعرف باسم تجاوز سعة المخزن المؤقت. هذا هو المكان الذي يقوم فيه الهجوم عن عمد بوضع الكثير من التعليمات البرمجية في مخزن مؤقت صغير بحيث " يفيض " ويكتب رمزا في موقع لا يجب أن يكون قادرا على الوصول إليه. عندما يتمكن المخترق من تشغيل تعليمات برمجية في موقع يجب أن يكون آمنا يمكنه اتخاذ خطوات ضارة.
قام هذا الهجوم بتثبيت برنامج تجسس قديم ومعروف يسمى Pegasus. سمح ذلك للمتسللين بجمع بيانات حول المكالمات الهاتفية والرسائل والصور ومقاطع الفيديو. حتى أنها تسمح لهم بتنشيط كاميرات وميكروفونات الأجهزة لأخذ التسجيلات.
تنطبق هذه الثغرة الأمنية على أجهزة الاندرويد و iOS و ويندوز 10 للهواتف و Tizen. وقد استخدمته شركة NSO Group الإسرائيلية التي اتُهمت بالتجسس على موظفي منظمة العفو الدولية ونشطاء آخرين في مجال حقوق الإنسان. بعد انتشار خبر الاختراق تم تحديث الواتساب لحمايته من هذا الهجوم.
إذا كنت تستخدم إصدار الواتساب 2.19.134 أو إصدار سابق على الأندرويد أو الإصدار 2.19.51 أو إصدار سابق على iOS فأنت بحاجة إلى تحديث تطبيقك على الفور.
3. الهجمات المهندسة اجتماعيا
هناك طريقة أخرى تجعل واتسآب ضعيفا وهي الهجمات المصممة اجتماعيا. هؤلاء يستغلون علم النفس البشري لسرقة المعلومات أو نشر معلومات مضللة.
كشفت شركة أمنية تدعى Check Point Research عن هجوم من هذا القبيل أطلقوا عليه اسم FakesApp. سمح هذا للأشخاص بإساءة استخدام ميزة الاقتباس في الدردشة الجماعية وتغيير نص رد شخص آخر. في الأساس يمكن للقراصنة زرع بيانات مزيفة تبدو وكأنها من مستخدمين شرعيين آخرين.
يمكن للباحثين القيام بذلك عن طريق فك تشفير اتصالات الواتساب. سمح لهم ذلك برؤية البيانات المرسلة بين إصدار الهاتف وإصدار الويب من الواتساب.
ومن هنا يمكنهم تغيير القيم في الدردشات الجماعية. ثم يمكنهم انتحال شخصية أشخاص آخرين وإرسال رسائل يبدو أنها مرسلة إليهم. يمكنهم أيضا تغيير نص الردود.
يمكن استخدام هذا في طرق مقلقة لنشر الحيل أو الأخبار المزيفة. على الرغم من الكشف عن الثغرة الأمنية في سنة 2018 إلا أنه لم يتم تصحيحها بحلول الوقت الذي تحدث فيه الباحثون في مؤتمر Black Hat في لاس فيغاس في عام 2019 وفقًا لـ ZNet.
4. ميديا ملف جاكينج
يؤثر Media File Jacking على كل من الواتساب و تلغرام. يستفيد هذا الهجوم من الطريقة التي تتلقى بها التطبيقات ملفات الوسائط مثل الصور أو مقاطع الفيديو وتكتب هذه الملفات على وحدة التخزين الخارجية للجهاز.
يبدأ الهجوم بتثبيت برامج ضارة مخبأة داخل تطبيق يبدو أنه غير ضار. يمكن لهذا بعد ذلك مراقبة الملفات الواردة لـ تلغرام أو الواتساب. عندما يأتي ملف جديد يمكن للبرامج الضارة استبدال الملف الحقيقي بملف مزيف. تشير شركة Symantec الشركة التي اكتشفت المشكلة إلى أنه يمكن استخدامها لخداع الأشخاص أو نشر أخبار كاذبة.
هناك حل سريع لهذه المشكلة. في الواتساب يجب أن تبحث في الإعدادات وتنتقل إلى إعدادات الدردشة. ثم ابحث عن خيار Save to Gallery وتأكد من ضبطه على Off. هذا سوف يحميك من هذه الثغرة الأمنية. ومع ذلك سيتطلب الإصلاح الحقيقي للمشكلة من مطوري التطبيقات تغيير الطريقة التي تتعامل بها التطبيقات مع ملفات الوسائط في المستقبل.
5. الفايسبوك يمكن أن يتجسس على محادثات الواتساب
في منشور مدونة أشار الواتساب إلى أنه نظرًا لأنه يستخدم التشفير من طرف إلى طرف ، فمن المستحيل على الفايسبوك قراءة محتوى الواتساب :
" عندما تستخدم أنت والأشخاص الذين تراسلهم أحدث إصدار من الواتساب يتم تشفير رسائلك افتراضيًا مما يعني أنك الشخص الوحيد الذي يمكنه قراءتها. وحتى عندما ننسق المزيد مع الفايسبوك في الأشهر المقبلة يتم تشفير رسائلك تظل الرسائل خاصة ولا يمكن لأي شخص آخر قراءتها. لا الواتساب ولا الفايسبوك ولا أي شخص آخر ".
ومع ذلك وفقًا للمطور Gregorio Zanon فإن هذا ليس صحيحا تماما. حقيقة أن الواتساب يستخدم التشفير من طرف إلى طرف لا يعني أن جميع الرسائل خاصة. في نظام تشغيل مثل iOS 8 والإصدارات الأحدث يمكن للتطبيقات الوصول إلى الملفات في "حاوية مشتركة".
يستخدم كل من تطبيق الفايسبوك و الواتساب نفس الحاوية المشتركة على الأجهزة. وبينما يتم تشفير الدردشات عند إرسالها لا يتم تشفيرها بالضرورة على الجهاز الأصلي. هذا يعني أن تطبيق الفايسبوك يمكن أن ينسخ المعلومات من تطبيق الواتساب.
للتوضيح لا يوجد دليل على أن الفايسبوك قد استخدم حاويات مشتركة لعرض رسائل الواتساب الخاصة. لكن الإمكانية متاحة لهم للقيام بذلك. حتى مع التشفير من طرف إلى طرف قد لا تكون رسائلك خاصة من عين الفايسبوك التي ترى كل شيء.
6. تطبيقات الطرف الثالث المدفوعة
ستندهش من عدد التطبيقات القانونية المدفوعة التي ظهرت في السوق والموجودة فقط لاختراق الأنظمة الآمنة.
يمكن أن يتم ذلك عن طريق الشركات الكبرى التي تعمل جنبا إلى جنب مع الأنظمة القمعية لاستهداف النشطاء والصحفيين أو عن طريق مجرمي الإنترنت عازمين على الحصول على معلوماتك الشخصية.
يمكن لتطبيقات مثل Spyzie و mSPY اختراق حساب الواتساب الخاص بك بسهولة لسرقة بياناتك الخاصة.
كل ما عليك فعله هو شراء التطبيق وتثبيته وتنشيطه على الهاتف المستهدف. أخيرا يمكنك الجلوس والاتصال بلوحة معلومات التطبيق من المتصفح والتطفل على بيانات الواتساب الخاصة مثل الرسائل وجهات الاتصال والحالة وما إلى ذلك ولكن من الواضح أننا ننصح بعدم قيام أي شخص بذلك بالفعل
7. نسخ الواتساب وهمية
يعد استخدام مواقع الويب المستنسخة المزيفة لتثبيت برامج ضارة استراتيجية قرصنة قديمة لا يزال ينفذها العديد من المتسللين في جميع أنحاء العالم. تُعرف مواقع الاستنساخ هذه بمواقع الويب الضارة.
تم اعتماد تكتيك القرصنة الآن أيضا لاقتحام أنظمة الأندرويد. لاختراق حساب الواتساب الخاص بك سيحاول المهاجم أولا تثبيت نسخة من الواتساب والتي قد تبدو مشابهة بشكل لافت للنظر للتطبيق الأصلي.
خذ حالة احتيال الواتساب Pink على سبيل المثال. نسخة من الواتساب الأصلي تدعي تغيير خلفية الواتساب القياسية الخضراء إلى اللون الوردي. وإليك كيف يعمل.
يتلقى المستخدم المطمئن رابط لتحميل تطبيق الواتساب Pink لتغيير لون خلفية التطبيق. وعلى الرغم من أنه يغير بالفعل لون خلفية تطبيقك إلى اللون الوردي فبمجرد تثبيت التطبيق سيبدأ في جمع البيانات ليس فقط من الواتساب الخاص بك ولكن أيضا من كل شيء آخر مخزن على هاتفك.
8. واتساب إصدار الويب
الواتساب Web هي أداة أنيقة لشخص يقضي معظم يومه على الكمبيوتر. يوفر سهولة الوصول لمستخدمي الواتساب حيث لن يضطروا إلى التقاط هواتفهم مرارا وتكرارا للمراسلة. توفر الشاشة الكبيرة ولوحة المفاتيح تجربة مستخدم أفضل بشكل عام.
هذا هو التحذير رغم ذلك. بقدر ما هو مفيد مثل إصدار الويب يمكن استخدامه بسهولة لاختراق محادثات الواتساب الخاصة بك. ينشأ هذا الخطر عند استخدام الواتساب Web على كمبيوتر شخص آخر.
لذلك إذا حدد مالك الكمبيوتر مربع الاحتفاظ بتسجيل الدخول أثناء تسجيل الدخول فسيظل حساب الواتساب الخاص بك مسجلاً للدخول حتى بعد إغلاق المتصفح.
يمكن لمالك الكمبيوتر بعد ذلك الوصول إلى معلوماتك دون صعوبة كبيرة.
يمكنك تجنب ذلك عن طريق التأكد من تسجيل الخروج من الواتساب Web قبل المغادرة. لكن كما يقولون الوقاية خير من العلاج. أفضل طريقة هي تجنب استخدام أي شيء بخلاف الكمبيوتر الشخصي الخاص بك لإصدار الويب من الواتساب تماما.
لمعرفة المزيد حول ما إذا كان الواتساب آمنا فأنت بحاجة إلى صقل معرفتك بتهديدات أمان الواتساب. هذه مجرد أمثلة قليلة على كيفية اختراق الواتساب. بينما تم تصحيح بعض هذه المشكلات منذ الكشف عنها إلا أن البعض الآخر لم يتم تصحيحها لذلك من المهم أن تظل يقظا.
كاتب التدوينة : المدون أحمد