וואטסאפ גולד היא נוזקה מסוכנת, וגם בלעדיה פרטיות המשתמשים בסכנה » האחראי על האינטרנט

הקליקו לארכיון האחראי על האינטרנט

וואטסאפ זהב של שוטים

“היי סוף סוף הגירסה המוזהבת הסודית של וואטסאפ דלפה. הגירסה הזאת משמשת רק סלבריטאים גדולים. עכשיו גם אנחנו יכולים להשתמש בה”, מבטיחה הודעה קוסמת, שמסתובבת מאז סוף החודש שעבר ומשמשת להפצת WhatsApp Gold. מלבד אבק הכוכבים, ההודעה מבטיחה גם שיפורים כמו שיחות וידאו, מחיקת הודעות שנשלחו בטעות, שליחת יותר מ-100 תמונות בו”ז, שיחות חינם, שינוי תבניות ופיצ’רים נוספים שאינם מפורטים.

ההודעה מפנה את הגולשים לאתר goldenversion.com, והורדה של האפליקציה משם למעשה יגרום להדבקת הסלולרי בנוזקה, תוכנה שמטרתה להזיק לטלפון, על ידי העברת השליטה בו לפרצנים, הדלפת מידע ממנו וכדומה.

הודעת ההונאה שמפתה מתגלצ'ים להתקין "וואטסאפ גולד". תמונה: משתמש טוויטר jhootha_hi_sahi

מקרה קודם של הונאה כזאת היה הנוזקה “וואטסאפ פלוס”. חברת וואטסאפ, שנמצאת בבעלות פייסבוק, הזהירה מפני “וואטסאפ פלוס” בעמוד השאלות החוזרות באתרה: “וואטסאפ פלוס היא אפליקציה שלא פותחה על ידי וואטסאפ, לא אושרה על ידי מפתחי וואטס ואין לה שום קשר לוואטסאפ, ואנחנו לא תומכים בוואטסאפ פלוס. שימו לב שוואטסאפ פלוס מכירה קוד מקור שוואטסאפ אינה יכולה להבטיח שהוא בטוח, וכי המידע הפרטי שלכם עלול לעבור לידי גופים צד ג’ בלי ידיעתכם או הסכמתכם”. החברה הודיעה שמי שיתקין את התוכנה יושעה זמנית משימוש בוואטסאפ. בדברי האזהרה מפני וואטסאפ פלוס היא כותבת: “אנא הסירו את האפליקציה והתקינו גירסה מורשית של וואטסאפ מאתרנו או מגוגל פליי. בתום ספירה של 24 שעות, תוכלו להשתמש בוואטסאפ”.

הוואטסאפ של כולנו גניב, ושירותים אחרים גם

הפירצה המדאיגה יותר בוואטסאפ היא זו שבמערכת הטלפוניה. פרוטוקול SS7 שבבסיס הטלפוניה הסלולרית, אשר פותח בשנות ה-1970 ולא שופר משמעותית מאז, מכיל פירצות שמאפשרות לפרצנים להשתלט על פרופילי אפליקציות צ’ט של מתגלצ’ים ולנהל שיחות בשמם (ובמקרה של אפליקציית טלגרם, למשל, גם לקרוא תכתובות קודמות). השיטת הזאת לא מושפעת מההצפנה של שירותי הצ’ט הללו, משום שהיא לא פריצת אדם-באמצע (man-in-the-middle), אלא מתבצעת באחד הקצוות של השיחה, ומכיוון שמפתח ההצפנה מיוצר על ידי התוכנה ולא נמצא בשליטת המשתמש.

כדי להשתלט על וואטסאפ של קורבן, הפרצן מתקין וואטסאפ על טלפון סלולרי משלו וגורם לו להתחזות לטלפון הסלולרי של הקורבן. אז הוא מבקש להתחבר לוואטסאפ, החברה שולחת קוד אישור למספר הטלפון של המשתמש, הקוד מגיע לטלפון של הפרצן, ואיתו הוא מתחבר לחשבון הוואטסאפ של הקורבן, כפי שאפשר לראות בהדגמה הזאת של חברת הסייבראבטחה הרוסית פוזיטיב טקנולוג’יז, שפרסמה גם פוסט ודוח (פדף) בנושא:

חברות התקשורת צריכות לסתום את הפירצות ב-SS7 – אלו מסכנות לא רק את משתמשי אפליקציות הצ’טים, אלא גם משתמשי שירותים אחרים שעושים שימוש בהודעות סמס לאישרור זהות של משתמשים, וגם את פרטיותם של בעלי טלפונים סלולריים באופן כללי. אבל זה עלול לקחת זמן רב. חברות כמו פייסבוק, מפעילת וואטסאפ, צריכות למצוא אמצעי אבטחה שיתגברו על הפירצה הוותיקה הזאת ב-SS7. בינתיים, כדי שמשתמשים יוכלו לפחות לדעת אם מישהו מנסה לפרוץ אליהם, פורבס מדווח שחוקר הסייבראבטחה קרסטן נול יצר אפליקציה בשם SnoopSnitch, שמודיעה בכל פעם שנכנסת שיחה או הודעה. אם יש חיווי על שיחה/הודעה אבל אין שיחה/הודעה, ייתכן שהמשתמש נפל קורבן למתקפת SS7.

משודר בגלצ בפינה “האחראי על האינטרנט” בתוכנית “שישבת” בהגשת אילאיל שחר. הפינה משודרת מדי שבת ב-19:30

4 ביוני, 2016 | בנושאים האחראי על האינטרנט בשישבת בגלצ 

תגובות

פרסום תגובה

עליך להתחבר כדי להגיב.