ثغرة بـ"واتس أب" تسمح بسرقة محادثات المستخدم
كشف مستشار تقني عن وجود ثغرة أمنية في تطبيق التراسل الفوري "واتس أب" الموجه لنظام التشغيل "أندرويد" من شأنها السماح للتطبيقات الأخرى بالوصول إلى جميع محادثات الدردشة الخاصة بالمستخدم وقراءتها.
ونشر رئيس قسم التقنية في شركة "دبل ثينك" باس بوستشير على مدونته الخاصة تفاصيل الطريقة التي اتبعها للوصول إلى محادثات "واتس أب"، وأكد أمس أن الثغرة لا تزال موجودة حتى بعد التحديث الذي طرحته الشركة لتطبيقها الثلاثاء الماضي.
وأوضح أن واتس أب لنظام أندرويد يخزن جميع المحادثات الخاصة بالمستخدم على بطاقة الذاكرة الخارجية (إس دي)، الأمر الذي يتيح للتطبيقات الأخرى إمكانية الوصول الكامل إلى تلك المحادثات طالما يوجد إذن من قبل المستخدم بذلك (العديد من التطبيقات تطلب وصولًا كاملًا إلى الجهاز)، وهي مسألة قد تستغلها التطبيقات المشبوهة.
ولتأكيد ذلك، بنى بوستشير تطبيقا لأغراض الاختبار، ونجح من خلاله بسحب قاعدة بيانات "واتس أب" من ذاكرة الهاتف الخارجية، لكنه نبه إلى أن هذا الأمر لا يعتبر عيبا أمنيا يعاني منه تطبيق المحادثة المذكور بحد ذاته، وإنما يعد مشكلة في البنية التحتية الخاصة بنظام أندرويد الذي تطوره شركة غوغل الأميركية.
يُذكر أن "واتس أب"، الذي صار مؤخرا يعمل تحت مظلة شركة فيسبوك بعد عملية استحواذ أُعلن عنها يوم 20 فبراير/شباط الماضي، بدأ في النسخ الأخيرة من تطبيقه بتشفير قاعدة بيانات المحادثات بحيث لا يمكن فتحها بواسطة محرك قواعد البيانات "إس كيو لايت" (SQLite)، لكن بوستشير أكد أنه تمكن من فتحها عبر محركات قواعد بيانات أخرى.
وللمقارنة، لا تسمح شركة "أبل" الأميركية للتطبيقات بالوصول إلى بيانات تطبيقات أخرى بفضل تقنية الحماية التي تُعرف بـ"ساندبوكس" (صندوق الرمل)، والتي تعني أن التطبيقات تعمل بشكل منعزل ومنفصل تماما عن بعضها بعضا، ولا يستطيع أي تطبيق أن يطلب معلومات من تطبيق آخر دون وجود صلاحيات محددة مسبقًا من قبل التطبيق الآخر.