اكتشف جال ويزمان Gal Weizman باحث في مجال الأمن السيبراني ثغرات أمنية متعددة في تطبيق المحادثات المجانية واتساب قد تسمح للمهاجمين بالوصول عن بعد إلى الملفات على أجهزة الحواسب الآلية العاملة بنظام ويندوز أو ماك،موضحاً أن التطبيق الأكثر استخدامًا ليس آمنًا كما كان يعتقد من قبل.
واستخدم الباحث خبرته في JavaScript للعثور على نقاط ضعف متعددة في تطبيق المراسلة الشهير،مشيراً إلى أن المستخدمين عرضة لخطر الهجمات من خلال السماح بالتلاعب بالمحتوى النصي والروابط في معاينات الموقع لعرض محتوى خاطئ وروابط معدلة تشير إلى وجهات خبيثة.
ويمكن استخدام الثغرات الموجودة في تطبيق واتساب لسطح المكتب للمساعدة في حملات التصيد، ونشر البرامج الضارة، وربما حتى برامج الفدية، مما يعرض ملايين المستخدمين للخطر، وذلك لأن خدمة المراسلة تضم حالياً أكثر من 1.5 مليار مستخدم نشط شهريًا.
وتمكن الباحث من استغلال البرمجة النصية للمواقع (XSS) على تطبيق سطح المكتب لخدمة المراسلة من خلال إيجاد ثغرة في سياسة أمان المحتوى (CPS) المستخدمة من قبل واتساب، الأمر الذي سمح له بالحصول على أذونات القراءة من نظام الملفات المحلي على تطبيق سطح المكتب لكل من ويندوز وماك.
ويمكن للمتطفلين من خلال استغلال هذه العيوب و استهداف المستخدمين باستخدام تعليمات برمجية ضارة أو روابط تم حقنها في رسائلهم، ومما زاد الطين بلة، أن تنبيهات الرسائل هذه ستكون غير مرئية تمامًا للعين غير المدربة.
ويتم إجراء هذه الأنواع من الهجمات عن طريق تعديل تعليمات JavaScript لرسالة واحدة قبل تسليمها إلى المستلم.
وأبلغ الباحث فريق أمان فيسبوك عن هذه المشكلات في العام الماضي، والذي صحح العيوب، وأصدر نسخة محدثة من تطبيق سطح المكتب، كما كافأ ويزمان بمبلغ 12500 دولار في إطار برنامج مكافآت الأخطاء للشركة.