פרצת אבטחה שהתגלתה על ידי חוקר הסייבר הישראלי אדם כחלון בגרסת וואטסאפ לווינדוס, עלולה לאפשר לקובץ תמים למראה – תמונה למשל – להריץ קוד זדוני במחשב, בלי שתשימו לב. כל מה שנדרש מהתוקף הוא לשכנע אתכם לפתוח קובץ מצורף שנראה לגיטימי לחלוטין. וברוב המקרים, זו לא משימה מסובכת במיוחד.
הפרצה, שקיבלה את הזיהוי CVE-2025-30401, משפיעה על כל הגרסאות של WhatsApp Desktop לווינדוס שיצאו לפני גרסה 2.2450.6. כדי לדעת עם איזו גרסה אתם עובדים, מומלץ לבדוק בשיטה הבאה: מצד ימין למטה ישנו גלגל השיניים של ההגדרות > משם הקליקו על עזרה ומספר הגרסה יופיע לכם בחלון שנפתח.
הבעיה: האופן בו האפליקציה מטפלת בקבצים מצורפים
מקור הבעיה הוא באופן שבו האפליקציה מטפלת בקבצים מצורפים שאתם מקבלים ושולחים. באופן ספציפי יותר, וואטסאפ מציגה לכם תצוגה מקדימה של הקובץ המצורף בהתבסס על סוג ה-MIME שלו – זהו סוג של מידע שאמור להגדיר איזה סוג קובץ זה (למשל, תמונה, מסמך וכו'). הבעיה היא שכאשר אתם לוחצים כדי לפתוח את הקובץ, וואטסאפ מעבירה אותו למערכת ההפעלה שלכם בהתבסס על סיומת הקובץ (למשל jpg /pdf או exe).
תוקף יכול לשלוח קובץ שמסווה את עצמו כתמונה תמימה או מסמך לא מזיק (באמצעות סוג MIME מתאים), אבל למעשה מדובר בקובץ הפעלה (עם סיומת כמו .exe). ברגע שתלחצו על הקובץ הזה כדי לצפות בו, מערכת ההפעלה תנסה להריץ אותו כתוכנה – וכך הקוד הזדוני יופעל.
תוקף יכול לשלוח קובץ שמסווה את עצמו כתמונה תמימה או מסמך לא מזיק (באמצעות סוג MIME מתאים), אבל למעשה מדובר בקובץ המכיל נוזקה
"חוסר התאמה שנוצר בזדון עלול לגרום למקבל הקובץ להריץ קוד שרירותי בלי כוונה, במקום פשוט לצפות בקובץ, כאשר הוא פותח אותו ידנית בתוך וואטסאפ", הסבירה מטא, חברת האם של וואטסאפ, בהודעת האבטחה הרשמית שפרסמה בנושא.
אמנם וואטסאפ היא תמיד יעד מבוקש עבור האקרים ונוכלים למיניהם, אך חשוב להדגיש שהפרצה הזו דורשת פעולה אקטיבית מצד המשתמש – הקורבן חייב ללחוץ ולפתוח את הקובץ הזדוני כדי שההתקפה תצליח. עם זאת, אל תזלזלו בסיכון. משתמשים רבים נוטים ללחוץ על קבצים וקישורים בלי לחשוב פעמיים, ואפילו גולשים מנוסים עלולים ליפול בפח אם הקובץ מגיע, למשל, מחבר בקבוצת הוואטסאפ של העבודה, ועד הבית או החברים מהצבא.
אז מה עושים?
הדבר החשוב ביותר הוא לוודא שאתם משתמשים בגרסה מעודכנת של וואטסאפ לווינדוס. ודאו שהגרסה המותקנת אצלכם גבוהה מ-2.2450.6. אם התקנתם את האפליקציה מחנות מיקרוסופט של ווינדוס ויש לכם עדכונים אוטומטיים אז לא אמורה להיות בעיה - רק בדקו את הגרסה כדי להיות בטוחים.
הדבר החשוב ביותר הוא לוודא שאתם משתמשים בגרסה מעודכנת של וואטסאפ לווינדוס. ודאו שהגרסה המותקנת אצלכם גבוהה מ-2.2450.6
אם המחשב שלכם מנוהל על ידי הארגון בו אתם עובדים, משרתים או לומדים, בדקו מול התמיכה שלכם כיצד אפשר לעדכן את האפליקציה אם אין לכם הרשאות מנהל על המחשב. נכון לעכשיו מטא מסרה שאין עדויות לניצול הפרצה הזו "בשטח" על ידי תוקפים, אך כמו תמיד – עדיף להיות בצד הבטוח ולעדכן את התוכנה בהקדם.
רומן מלכוב, מנהל ה-SOC בחברת הסייבר הישראלית Experis Cyber :"הפרצה שהתגלתה מסוכנת במיוחד כי היא עלולה לאפשר לתוקפים להשתלט על המחשב בלי שהמשתמש יעשה משהו חריג – רק על ידי פתיחת קובץ שנראה תמים, כמו תמונה. מומלץ לעדכן את וואטסאפ לגרסה האחרונה, שבה תיקנו את הפרצה. בכללי, צריך לזכור שגם אפליקציות שאנחנו סומכים עליהן ביומיום עלולות להפוך לכלי בידי האקרים, אז חשוב להישאר עם האצבע על הדופק לגבי עדכוני אפליקציות ותוכנות".
לא הפרצה הראשונה
זו אינה הפעם הראשונה שוואטסאפ ניצבת במרכזן של פרצות אבטחה. ביולי 2024 טופלה פירצה דומה שאיפשרה הרצת קבצי PHP ופייתון (Python) מבלי שהמשתמש יקבל התרעה – כל עוד הייתה מותקנת סביבת פייתון במחשב. במקרים אחרים, נעשה שימוש בפרצות מסוג "אפס קליק" – שאינן דורשות כל פעולה מצד הקורבן.
2 צפייה בגלריה
אהוד ברק, ממייסדי פאראגון, ומנכ"ל מטא, מארק צוקרברג
(SHAWN THEW/Pool via REUTERS, קובי קואנקס)
פרשה זכורה במיוחד התרחשה בתחילת השנה, אז נחשף שחברת מטא טוענת כי תוכנת הריגול "גרפיט" של פאראגון הושתלה באמצעות אפליקציית וואטסאפ במכשירי סמארטפון של כ-90 בני אדם ב-20 מדינות שונות, רובם עיתונאים או פעילי זכויות אדם. מטא שלחה מכתב התרעה לפני תביעה משפטית ודרשה מפאראגון להפסיק לרגל אחרי משתמשיה. בהמשך ל-ynet נודע שבפאראגון שוקלים את צעדיהם ולא חוששים ממאבק מול מטא, גם אם זה יגיע לבית המשפט.
מוקדם יותר בדצמבר, שופט פדרלי בארה"ב קבע כי חברת NSO הישראלית השתמשה בפרצות בוואטסאפ כדי לפרוץ לכ-1,400 מכשירים עם רוגלת "פגסוס" (Pegasus) הידועה לשמצה. על פי המסמכים שהוגשו לבית המשפט, NSO יצרה כלים שהתבססו על פירוק הקוד של וואטסאפ, וכללו שליחת הודעות זדוניות שדרכן הותקנו הרוגלות – מה שהיווה הפרה של חוקי הסייבר האמריקאים.
