ورقة بحثية جديدة تكشف عن خلل في طريقة إدارة واتساب للمجموعات، مما قد يسمح بإضافة أشخاص دون إذن المسؤول عن المجموعة.
بالرغم من أن واتساب تعاونت مع شركة Open Whisper Systems صاحبة التطبيق الآمن الشهير TextSecure لتوفير التشفير مابين طرفي المحادثة end-to-end encryption لمستخدمي التطبيق قبل بضع سنوات، إلا أن ورقة بحثية جديدة أظهرت وجود خلل كبير في أمن منصة التراسل المملوكة لفيسبوك.
ووفقًا للورقة البحثية فإن تطبيق واتساب يحتوي على خلل مثير للقلق يتيح لأي شخص قادر على التحكم بمخدمات واتساب إضافة أشخاص جدد إلى مجموعات الدردشة دون الحاجة إلى الحصول على إذن المسؤول عن تلك المجموعات.
وبالحديث عن الخلل فإنه متعلق بكيفية تعامل واتساب مع مجموعات الدردشة وطريقة إدارة المجموعات، إذ إن رسائل دعوات الأشخاص المرسلة من مدراء المجموعات إلى خوادم واتساب لا تستعمل التشفير مابين طرفي المحادثة بل تستخدم تشفير النقل القياسي.
وهذا يعني من الناحية النظرية إمكانية خداع تلك المخدمات عن طريق إرسال دعوات لإضافة أشخاص جدد إلى المجموعات الخاصة دون الحصول على إذن المسؤول عن المجموعة.
كما يؤدي ذلك إلى مشاركة مفاتيح التشفير السرية مع العضو الجديد بشكل تلقائي، مما يتيح لهذا العضو مستقبلًا الوصول الكامل إلى أي رسالة مرسلة ضمن المجموعة، ولكن لا يمكنه مشاهدة الرسائل السابقة.
وردًا على الورقة البحثية، فإن أليكس ستاموس مسؤول الحماية لدى فيسبوك أشار إلى أن واتساب لن تصلح المشكلة لأن ذلك يعني إزالة روابط الدعوات التي يستخدمها الملايين من الناس يوميًا، وأن مجموعات الدردشة ما تزال محمية بواسطة تقنية التشفير الخاصة بالتطبيق.
وأضافت أن السبيل الوحيد لاستغلال هذا الخلل يتعلق بإمكانية الوصول إلى خوادم واتساب، وأن المستخدمين يحصلون على إشعار عند إنضمام أشخاص جدد إلى المجموعات.
أحدث التعليقات