בעיית אבטחה קריטית נחשפה בוואטסאפ, כזו שעלולה לאפשר להאקר לקרוא קבצים המאוחסנים במכשיר של משתמש אם אפליקציית ההודעות שבבעלות פייסבוק אינה מעודכנת בתיקון האחרון.
נובע ממחקר על ליקוי אבטחה שנמצא ב-2017 שבו תוקף יכול לשנות את טקסט התשובה של אדם בוואטסאפ, עבודה של חוקר האבטחה גל ויצמן מחברת Perimeter Xחָשׂוּףמספר בעיות אבטחה אחרות. בהתאם לפגם המסוים, ויצמן היה מסוגל לבצע סקריפטים מתמידים בין אתרים (XSS) בתוך WhatsApp, כמו גם להיות מסוגל לקרוא את מערכת הקבצים המקומית של נמען על ידי שליחת הודעה בודדת.
נמצא כי הפגמים עובדים על גרסת שולחן העבודה של WhatsApp עבורmacOSו-Windows, המותאמים בדרך כלל לגרסה ניידת, כגוןאייפוןאפליקציה.
בעבודתם מצאו ויצמן בעיות במדיניות אבטחת התוכן של WhatsApp שפתחו את הדלת לשימוש לרעה, כאשר הפגמים מאפשרים הסלמה בחומרה. בקצה הנמוך זה כלל מניפולציה של הבאנר של WhatsApp, המופיע עבור הודעות הכוללות מידע נוסף כמו קישור לאתר אינטרנט, עם שיבוש של ההודעה המאפשרת לה להיראות כמקשרת לפייסבוק אך במציאות עשויה לכלול כתובת אתר זדונית.
שימוש לרעה נוסף ב-CSP אפשר ביצוע XSS, אך למרות שבדרך כלל זה יזיק לאפליקציה, ביצוע מניפולציית הבאנר בגרסת שולחן העבודה של האפליקציה אפשרה לתוקף לגלות מידע על המחשב של הקורבן ולקרוא מקומי קבצים. בשלב זה, נמצא שהאפליקציה מבוססת האלקטרון משתמשת בגרסת Chromium 69 ב-Electron 4.1.4, גרסה ישנה יותר שכללה נקודות תורפה המאפשרות להתרחש מתקפות XSS.
השימוש ב-Chromium 69 הוא גם בעיה, שכן ישנן מספר התקפות ביצוע קוד מרחוק אפשריות עבור המהדורה הזו, ועוד כמה אחרות. ויצמן הציע עוד שאם WhatsApp פשוט תעדכן את אפליקציית האינטרנט של Electron מ-4.1.4 לגרסה הרבה יותר חדשה, "ה-XSS הזה לעולם לא היה קיים".
פייסבוקמְעוּדכָּןאפליקציית שולחן העבודה והאייפון בסוף ינואר כדי לתקן את הבעיות. אלקטרון היא הליבה של פלטפורמות העברת ההודעות ושיתוף הפעולה Slack ו-Discord, אך לא ברור אם הפלטפורמות הללו הושפעו, או טופלו.
חשיפת הפגמים המביכים יחסית בלקוח הדסקטופ של וואטסאפ מהווים בעיה עבור פייסבוק לאור הבדיקה העומדת בפני החברה כעת בעקבות הפריצה למנכ"ל אמזוןהאייפון של ג'ף בזוס. יורש העצר הסעודי מוחמד בן סלמאן היה מעורב בפריצה, שהובילה להדלפת מידע פוגעני על בזוס לעיתון ב-2018, שכן מדובר לכאורה בסרטון פגוםנשלח מחשבון הוואטסאפ של הנסיך.
זמן קצר לאחר הגשת הטענות, ראש פייסבוק וסגן ראש ממשלת בריטניה לשעבר, סר ניק קלג, התעקש שהאפליקציה מאובטחת. בראיון עם הBBC, קליגהתעקשלהודעות המוצפנות של WhatsApp "לא ניתן היה לפרוץ" ושזה לא יכול היה להיות כל שינוי בהודעה בהעברה - מה שככל הנראה לא המקרה. ניצול הפגם הזה בלקוח WhatsApp יכול היה להוביל בקלות לפריצת Bezos.
חוקרי אבטחה מיהרו לציין שהצפנה מקצה לקצה לא תהיה חשובה אם ההודעה עצמה מסוכנת לפתיחה.
