Saturday, August 1, 2015

شاب مغربي يكتشف ثغرة في تطبيق الواتساب تسمح بقراءة الأرقام الهاتفية و الرسائل الخاصة


تمكن شاب مغربي يُدعى "أحمد لكسايس" (19 عاما) من إكتشاف ثغرة في تطبيق الدردشة الشهير الواتساب الخاص بنظام iOS الذي تعمل بها هواتف و أجهزة آبل اللوحية، هذه الثغرة تمكن  من  قراءة رسائل الواتساب وولوج لائحة الأسماء والأرقام الهاتفية حتى ولو كان الهاتف محمياً بكلمة سر. إذ أن نقل ملف تطبيق الواتساب إلى نظام لينكس في الحواسيب، سيمكّن أيا كان من الولوج إلى الرسائل الخاصة وإلى كل الأسماء والأرقام الموجودة على الهاتف، حتى ولو كان هذا الأخير محميا من طرف المستخدم برمز حماية أو كلمة سر.

تطبيق الواتساب يقوم بتخزين الأرقام الهاتفية وبيانات الرسائل داخل ملفاته حتى لو لم يقم المستخدم بنقل هذه البيانات من دليل الهاتف إلى دليل الواتساب، وهنا تكمن الثغرة التي تسمح عند ربط هاتف آيفون بحاسوب يعمل بنظام لينكس أن يقوم حينها بنسخ ملف تطبيق الواتساب المثبت على الهاتف إلى سطح المكتب على الحاسوب، ويمكن عندها فتح الرسائل التي تم تخزينها و أيضا ولوج كافة الأرقام الهاتفية من خلال هذا الملف.

وبعد إكتشافه لهذه الثغرة تواصل "أحمد لكسايس" مع فريق الحماية بشركة واتساب، الذين قدّموا له الشكر على الثغرة التي عثر عليها وعلى التعاون الذي تقدّم به مضيفين أن شركة آبل معنية أيضا بهذه الثغرة نظراً لإصابة نظام iOS الخاص بها بهذا الخلل ويجب عليها أن تقوم بتحديثات أمنية من جهتها أيضا.

وسبق لهذا الشاب أن اكتشف ثغرة أخرى في تطبيق "تويتر" على أجهزة iOS كذلك ذات خطورة هامة، إذ أن تطبيق تويتر كان يخزن شيفرة على أجهزة iOS، ويمكن نسخ هذه الشيفرة ووضعها في هاتف آخر و بالتالي الدخول للحساب من الجهاز الثاني دون الحاجة لإسم المستخدم و كلمة المرور.

أحمد لكسايس، الذي يتابع دراسته حالياً بشعبة علوم الحاسوب بجامعة الأخوين بمدينة إفران المغربية، هو عضو دائم بمنظمة OWASP المسؤولة عن برمجة التطبيقات المفتوحة المصدر لحماية المواقع الاكترونية وساعد بعض الجامعات المغربية في حماية أنظمتها.