أطلقت خدمة الدردشة الشهيرة على الهواتف المحمولة واتس آب الشهر الماضي واتس آب ويب، وتتيح هذه الخدمة للمستخدمين تشغيل واتس آب على متصفحاتهم المفضلة، مثل جوجل كروم، طالما أنهم لا يملكون أنظمة تشغيل iOS على هواتفهم.
وكما هو الحال دائماً، ففي كاسبرسكي نحن معنيون بالناحية الأمنية من هذه الخدمة، ورغم أنه لم يمض على إطلاق الخدمة فترة شهر، فإننا بدأنا بالفعل نلحظ ثغرات ومشاكل أمنية في هذه الخدمة.
عثر المدون التقني من الهند، إندراجيت بهويان، البالغ من العمر ١٧ سنة، على مجموعة من الثغرات المثيرة للاهتمام، إنما غير طارئة، التي تتواجد بين واتس آب ويب وخدمة الهاتف المحمول الأصلية. وللتوضيح، فإن خدمة الويب عبارة عن امتداد لتطبيق واتس آب على الهاتف المحمول، وتعكس محادثات من جهاز الهاتف المحمول، وتعرضها على كروم، بحسب مدونة واتس آب. ويتمكن المستخدمون من استخدام واتس آب ويب فقط في حالة عدم اتصال هواتفهم “التي لا تمتلك أنظمة تشغيل iOS” بالإنترنت.
يلقي فريق مدونة كاسبرسكي نظرة على الناحية الأمنية في خدمة واتس آب ويب الجديدة
Tweet
ومن المتوقع بأن تكون معظم ثغرات واتس آب ويب مرتبطة بتطبيقات الهواتف المحمولة، والتي عرضها بهويان بشكل لطيف.
ومن الثغرات التي اكتشفها بهويان ثغرة متعلقة بالصور المحذوفة، وعملية المزامنة بين تطبيقات الهاتف المحمول والموقع. فإذا كان المستخدم يملك واتس آب مرتبط بخدمة الموقع الجديدة وقام بحذف صورة، فسيتم حذف الصورة على تطبيق الهاتف المحمول أيضاً. ومن ناحية أخرى، بحسب بهويان، فستبقى الصور المحذوفة مرئية لعميل الموقع. أما بالنسبة للرسائل التي يتم حذفها على تطبيق الهاتف المحمول، فيتم حذفها على تطبيق الموقع أيضاً.
أما الثغرة الأخرى التي كشفها بهويان، تتعلق بإعدادات خصوصية البروفايل، حيث يستطيع المستخدمون اختيار عرض صور البروفايل الخاصة بهم للجميع، أو الاقتصار على قائمة المتصلين بالمستخدم، أو لا أحد على الإطلاق. وإذا اخترت الاقتصار على عرض صورة البروفايل الخاصة بك لقائمة المتصلين فقط، فبحسب إدعاء بهويان يتم كشفها بالصدفة لأي شخص يريد رؤيتها على تطبيق الموقع. ويمكنك أن ترى هذا الأمر بنفسك عبر الفيديو التالي:
ونشر بهويان تحليلاً مختصراً لبحثه على مدونته الخاصة، حيث ينشر قصصاً متعلقة بالتقنية منذ كان عمره 14 عاماً. ويدعي بأنه تواصل مع واتس آب، وأنهم أبلغوه بأنهم يقومون بالعمل على حل هذه المشاكل. وقامت مدونة كاسبرسكي من جهتها بالتواصل مع واتس آب، إلا أنهم لم يستجيبوا لطلبنا بالحصول على تعليق من جانبهم.
ومن ناحية أخرى، فإن الباحث في كاسبرسكي، فابيو أسوليني، يتعقب محاولات الاحتيال المنتشرة على المنصات العامة، ومن هذه المحاولات، بحسب مقالة منشورة على موقع سيكيور ليست، تقليد صفحة تحميل واتس آب، وتحميل رمز جوجل كروم مظلل بدلاً من الرمز الأصلي. ولتحميل واتس آب ويب، يتوجب على المستخدمين زيارة web.whatsapp.com والتقاط صورة لرمز QR على الهاتف المحمول. وبالطبع، ينشر المحتالون هنا موقعاً مشابهاً مع رمز QR خبيث لإصابة المستخدمين.
#WhatsApp for Web in the sight of #cybercriminals http://t.co/INhWBt0xlo via @securelist by @assolini pic.twitter.com/5NtU1vG5zF
— Kaspersky (@kaspersky) February 8, 2015
وفي الواقع، يوضح أسوليني بأن محاولات الاحتيال القائمة حول نسخة الحاسوب من واتس آب تستبق إطلاق واتس آب ويب. ويقول بأنه لاحظ عدداً من النطاقات الخبيثة والتي تبيع برامج تروجان مصرفية برازيلية، تتنكر على شكل نسخ مزيفة من واتس آب لويندوز.
كما عثر أسوليني على مجموعة مجرمة أخرى تقوم بالترويج لواتس آب ويب بهدف تجميع أرقام الهواتف، لتنفيذ خطط الاحتيال عبر الرسائل النصية، والتي تعتمد على تسجيل أرقام الهواتف المحمولة للاشتراك بخدمة رسائل نصية، والتي يتم احتساب تكاليفها على المستخدمين، واستفادة المجرمين من أموالهم.
ونتطلع لمعرفة كيف سيقوم قطاع واتس آب ويب الأمني بمواجهة هذه المشاكل، مقارنة بخدمات رسائل أخرى.
وأفضل نصيحة للوقت الراهن: إذا أردت تحميل واتس آب ويب، فاحرص على زيارة الموقع الصحيح.