تنها با جواب دادن به یک تماس تصویری در واتزاپ، حساب کاربری خود را در معرض خطر قرار می‌دهید.

چه اتفاقی می‌افتد که تنها با دریافت یک تماس تصویری بر روی واتزاپ، گوشی هوشمند شما در معرض هک شدن قرار می‌گیرد؟

Natalie Silvanovich که یک محقق امنیتی در Google Project Zero است[۱]، یک آسیب‌پذیری حیاتی در پیام‌رسان واتزاپ پیدا کرده است که می‌تواند به هکرها اجازه دهد تا از راه دور کنترل کامل برنامه شما را فقط با استفاده از یک تماس تصویری با شما از طریق این برنامه پیام‌رسان در اختیار گیرند.

این آسیب‌پذیری یک مسئله سرریز حافظه است که زمانی که یک کاربر یک بسته‌ی RTP بدشکلِ به‌طور خاص دستکاری‌شده را از طریق یک درخواست تماس تصویری دریافت می‌کند، باعث خطای تخریب و crash کردن این برنامه تلفن همراه می‌شود.

ازآنجاکه این آسیب‌پذیری بر روی پیاده‌سازی RTP (پروتکل انتقال در زمان واقعی) بر روی واتزاپ تأثیر می‌گذارد، این عیب بر روی برنامه‌های تحت iOS و اندروید تأثیرگذار است، اما بر روی واتزاپ تحت وب که برای تماسی‌های تصویری به WebRTC متکی است، تأثیر نمی‌گذارد.

Silvanovich همچنین یک بهره‌بردار اثبات ادعا را همراه با دستورالعمل‌های تولید حمله به این برنامه منتشر کرد.

اگرچه اثبات ادعای منتشرشده[۲] توسط Silvanovich فقط باعث تخریب حافظه می‌شود، یکی دیگر از محققان Google Project Zero به نام Tavis Ormandy ادعا می‌کند[۳] که “این یک مشکل بزرگ است. فقط پاسخ دادن به یک تماس از طرف مهاجم می‌تواند کاملاً واتزاپ را در معرض خطر قرار دهد.”

به‌عبارت‌دیگر، هکرها تنها به شماره تلفن شما نیاز دارند تا به‌طور کامل حساب کاربری واتزاپ شما را ربوده و مکالمات مخفی شما را جاسوسی کنند.

Silvanovich این آسیب‌پذیری را کشف و در ماه اوت سال ۲۰۱۸ به این شرکت گزارش کرده است. این شرکت این مسئله را در تاریخ ۲۸ سپتامبر در اپلیکیشن اندرویدی خود و در تاریخ ۳ اکتبر در سرویس آیفون خود برطرف کرده است.

بنابراین اگر هنوز واتزاپ خود را برای اندروید یا iOS به‌روز نکرده‌اید، باید هر چه سریع‌تر آن را به‌روزرسانی کنید.

دو ماه پیش، محققان نیز یک نقص در روشی که برنامه تلفن همراه واتزاپ را به برنامه واتزاپ تحت وب متصل می‌کرد کشف کردند که به کاربران موذی اجازه می‌داد تا محتوای پیام‌های ارسال‌شده در مکالمات خصوصی و همچنین گروهی را تغییر دهند[۴].