المصدر - حذر تطبيق التراسل الفورى الأشهر فى العالم واتس آب مستخدميه من وجود 6 ثغرات رئيسية تم اكتشافها فى التطبيق، حيث بدأت منصة المراسلة هذا الشهر نهجًا أكثر انفتاحًا لإعلام المستخدمين بالعيوب التى تم الكشف عنها فى نسخ iOS وأندرويد الذى يتمتع بشعبية كبيرة، حيث كشفت المنصة عن سلسلة من المشكلات التى تضمنت الملصقات ومكالمات الفيديو وتطبيق WhatsApp Desktop.
وبحسب صحيفة express البريطانية، فعلى موقع ويب مخصص للأمان أُنشئ حديثا، حدد "واتس آب" نقاط الضعف الست - حيث أُصلح خمسة منها فى يوم واحد، بينما استغرق الخلل الأخير وقتا أطول لحلها، وقال "واتس آب" إنه يمكن تشغيل بعض الأخطاء عن بُعد، ولكنهم لم يعثروا على دليل على أن المتسللين تمكنوا من استغلال نقاط الضعف بنشاط.
وقد تم الإبلاغ عن عدد من الأخطاء من خلال برنامج مكافأة الأخطاء فى واتس آب، والذى يكافئ خبراء الأمن خارج الشركة لاكتشاف نقاط الضعف الأمنية، بينما تم اكتشاف البعض الآخر من خلال مراجعات التعليمات البرمجية الروتينية وباستخدام الأنظمة الآلية، وتمحورت إحدى العيوب، التى أطلق عليها واتس آب اسم CVE-2020-1890، حول مستخدم يتم إرساله "بيانات مشوهة عن عمد لتحميل صورة من عنوان URL يتحكم فيه المرسل".
*
فيما أثر آخر، اسمه CVE-2020-1891، على مكالمات الفيديو فى إصدارات مختلفة من WhatsApp لنظام أندرويد وiOS وWhatsApp Business، بينما كان من الممكن استغلال الثغرة الأمنية CVE-2020-1886 بعد أن التقط مستخدم WhatsApp المطمئن "مكالمة فيديو ضارة"، وأثّر الخلل فى CVE-2019-11928 على مستخدمى WhatsApp Desktop الذين نقروا على "رابط من رسالة موقع مباشر معدة خصيصًا".
*
وأوضح "واتس آب" على موقعه الإلكترونى الجديد للاستشارات الأمنية: "إذا تم تحديد خطأ ما، فإننا نعمل على إصلاح المشكلة فى أسرع وقت ممكن. وتماشيا مع أفضل ممارسات الصناعة، لن نكشف عن مشكلات الأمان إلا بعد التحقيق بشكل كامل فى أى مطالبات، مع إصدار إصلاحات ضرورية وإتاحة التحديثات على نطاق واسع من خلال متاجر التطبيقات المعنية. نحن نستخدم النهج نفسه لجميع منتجات "واتس آب"".
*وتابع: "إذا أصلحنا مشكلة فى أحد منتجاتنا، فإننا نعمل أيضا على ضمان معالجتها فى أى منتجات أخرى قد تعتمد على الرمز نفسه. نحن نتبع الإرشادات المقدمة من الشركات المصنعة لأنظمة التشغيل، للتخزين على الجهاز، ونعتمد على أمان أنظمة التشغيل وواجهات برمجة التطبيقات.
ويعتمد "واتس آب" أيضا على العديد من مكتبات الشيفرات، التى طورتها جهات خارجية للحصول على ميزات مختلفة، وسنقوم بتعليق تحديثات الأمان لهذه المكتبات لذلك يمكن للمطورين الآخرين إجراء التحديثات اللازمة. وتتمثل سياستنا فى إخطار مطورى ومقدمى أنظمة تشغيل الأجهزة المحمولة، بشأن المشكلات الأمنية التى قد يحددها "واتس آب"، ونحن ملتزمون جدا بالشفافية، ويهدف هذا المورد إلى مساعدة مجتمع التكنولوجيا الأوسع نطاقا على الاستفادة من أحدث التطورات فى جهودنا الأمنية. ونشجع بشدة جميع المستخدمين على التأكد من استمرارهم فى تحديث التطبيق، من متاجر التطبيقات الخاصة بهم وتحديث أنظمة تشغيل الأجهزة المحمولة الخاصة بهم متى توفرت التحديثات".
وتأتى هذه الأخبار فى الوقت الذى تم فيه تنبيه مستخدمى WhatsApp بشأن تهديد آخر قد يؤدى إلى تشغيل "رمز تعطل" سيؤدى إلى تدمير تطبيق الدردشة ذاتيًا، وقد تم اكتشاف التهديد من قبل محققى واتس آب فى WABetaInfo الذين قالوا إن الكود يتم تشغيله بعد نقر المستخدم على رسالة غامضة المظهر.
*
وبحسب صحيفة express البريطانية، فعلى موقع ويب مخصص للأمان أُنشئ حديثا، حدد "واتس آب" نقاط الضعف الست - حيث أُصلح خمسة منها فى يوم واحد، بينما استغرق الخلل الأخير وقتا أطول لحلها، وقال "واتس آب" إنه يمكن تشغيل بعض الأخطاء عن بُعد، ولكنهم لم يعثروا على دليل على أن المتسللين تمكنوا من استغلال نقاط الضعف بنشاط.
وقد تم الإبلاغ عن عدد من الأخطاء من خلال برنامج مكافأة الأخطاء فى واتس آب، والذى يكافئ خبراء الأمن خارج الشركة لاكتشاف نقاط الضعف الأمنية، بينما تم اكتشاف البعض الآخر من خلال مراجعات التعليمات البرمجية الروتينية وباستخدام الأنظمة الآلية، وتمحورت إحدى العيوب، التى أطلق عليها واتس آب اسم CVE-2020-1890، حول مستخدم يتم إرساله "بيانات مشوهة عن عمد لتحميل صورة من عنوان URL يتحكم فيه المرسل".
*
فيما أثر آخر، اسمه CVE-2020-1891، على مكالمات الفيديو فى إصدارات مختلفة من WhatsApp لنظام أندرويد وiOS وWhatsApp Business، بينما كان من الممكن استغلال الثغرة الأمنية CVE-2020-1886 بعد أن التقط مستخدم WhatsApp المطمئن "مكالمة فيديو ضارة"، وأثّر الخلل فى CVE-2019-11928 على مستخدمى WhatsApp Desktop الذين نقروا على "رابط من رسالة موقع مباشر معدة خصيصًا".
*
وأوضح "واتس آب" على موقعه الإلكترونى الجديد للاستشارات الأمنية: "إذا تم تحديد خطأ ما، فإننا نعمل على إصلاح المشكلة فى أسرع وقت ممكن. وتماشيا مع أفضل ممارسات الصناعة، لن نكشف عن مشكلات الأمان إلا بعد التحقيق بشكل كامل فى أى مطالبات، مع إصدار إصلاحات ضرورية وإتاحة التحديثات على نطاق واسع من خلال متاجر التطبيقات المعنية. نحن نستخدم النهج نفسه لجميع منتجات "واتس آب"".
*وتابع: "إذا أصلحنا مشكلة فى أحد منتجاتنا، فإننا نعمل أيضا على ضمان معالجتها فى أى منتجات أخرى قد تعتمد على الرمز نفسه. نحن نتبع الإرشادات المقدمة من الشركات المصنعة لأنظمة التشغيل، للتخزين على الجهاز، ونعتمد على أمان أنظمة التشغيل وواجهات برمجة التطبيقات.
ويعتمد "واتس آب" أيضا على العديد من مكتبات الشيفرات، التى طورتها جهات خارجية للحصول على ميزات مختلفة، وسنقوم بتعليق تحديثات الأمان لهذه المكتبات لذلك يمكن للمطورين الآخرين إجراء التحديثات اللازمة. وتتمثل سياستنا فى إخطار مطورى ومقدمى أنظمة تشغيل الأجهزة المحمولة، بشأن المشكلات الأمنية التى قد يحددها "واتس آب"، ونحن ملتزمون جدا بالشفافية، ويهدف هذا المورد إلى مساعدة مجتمع التكنولوجيا الأوسع نطاقا على الاستفادة من أحدث التطورات فى جهودنا الأمنية. ونشجع بشدة جميع المستخدمين على التأكد من استمرارهم فى تحديث التطبيق، من متاجر التطبيقات الخاصة بهم وتحديث أنظمة تشغيل الأجهزة المحمولة الخاصة بهم متى توفرت التحديثات".
وتأتى هذه الأخبار فى الوقت الذى تم فيه تنبيه مستخدمى WhatsApp بشأن تهديد آخر قد يؤدى إلى تشغيل "رمز تعطل" سيؤدى إلى تدمير تطبيق الدردشة ذاتيًا، وقد تم اكتشاف التهديد من قبل محققى واتس آب فى WABetaInfo الذين قالوا إن الكود يتم تشغيله بعد نقر المستخدم على رسالة غامضة المظهر.
*