ذو الـ 17 عاماً يكتشف ثغرتين في WhatsApp الإصدار الجديد الخاص بالويب
في الأسبوع الماضي، وبعد طول انتظار يصل الإصدار الخاص بالويب من برنامج المحادثات الأشهر على الإطلاق WhatsApp، ويسمى WhatsApp Web، ولكن للأسف التطبيق يحتاج بعض التحسينات في الإصدار الخاص بالويب.
الباحث الأمني Indrajeet Bhuyan والبالغ من العمر 17 عاماً قام بالإبلاغ عن 2 من نقاط الضعف الأمني في تطبيق WhatsApp Web client والتي تؤدي لانتهاك خصوصية المستخدمين. قام Bhuyan بتسمية الثغرة الأول بـ WhatsApp photo privacy bug والثانية WhatsApp Web Photo Sync Bug.
Bhuyan هو نفسه الباحث الأمني الذي قام بالإبلاغ عن العديد من الثغرات في تطبيق الرسائل الأشهر على الإطلاق والتي كانت تسمح لأي شخص أن يقوم بتعطيل تطبيق الـ WhatsApp عن بعد، وذلك عن طريق إرسال رسالة معينة لا حجمها 2kb، تؤدي إلى فقدان المحادثة وتعطل البرنامج.
ووفقاً لما قاله الباحث الأمني أن الإصدار الجديد من تطبيق الـ WhatsApp Web، يسمح برؤية الصورة الشخصية لمستخدم معين حتى وإن كنت غير موجود بقائمة الاتصال لديه. حتى وإن كانت الأعدادات الخاصة بالصورة “Contacts Only”، أي أن صورة الملف الشخصي يمكن رؤيتها من قبل المستخدمين الخارجين عن جهات الاتصال.
بالأساس، إذا كانت الإعدادات الخاصة بصورة الملف الشخصي متاح فقط لجهات الاتصال لدينا، فينبغي فقط للأشخاص الموجودين بقائمة الاتصال رؤية الصور وما دونهم لا يمكنهم رؤيتها، ولكن هذا ليس في حالة الـ WhatsApp Web، يمكنك مشاهدة كيفية عمل الثغرة من خلال الفيديو التالي:ـ
الثغرة الثانية تشير إلى WhatsApp Web Photo Syncing functionality وهي مزامنة الصور، فقد لاحظ Bhuyan أنه عندما يقوم المستخدم بحذف صورة كانت قد أرسلت بواسطة WhatsApp الإصدار الخاص بالهواتف النقاله، فإن الصورة تبدو مشوشة ولا يمكن رؤيتها.
في حين أن نفس الصورة التي تم حذفها بواسطة المستخدم من خلال الإصدار الخاص بالموبايل، يمكن الوصول إليها من خلال التطبيق الخاص بالويب، أي أنه لا يتم حذفها من الـ web client، مما يعني وجود مشكلة في عملية المزامنة بين التطبيق من خلال الويب والتطبيق من خلال الهاتف النقال، ويمكنكم مشاهدة كيفية عمل الثغرة من خلال الفيديو التالي:ـ
لا توجد مفاجأة، فـ WhatsApp Web تم إصداره منذ بضعة أيام، لذلك كان من المتوقع أن يكون هناك بعض الثغرات، وضعف في الحماية، وربما يتم الكشف أيضاً عن ثغرات أخرى في الأيام القليلة القادمة.