ثغرات في «واتساب» تسرّب بيانات المستخدمين
كشفت دراسة بحثية حديثة عن ثغرات في بروتوكول التشفير متعدد الأجهزة في تطبيق «واتساب»، وهي الثغرات التي تؤدي إلى تسريب بيانات وصفية حساسة تتيح للمهاجمين الاطلاع على بيانات المستخدمين والتعرف على نوع نظام التشغيل في أجهزتهم، على الرغم من استخدام التشفير التام بين الطرفين للرسائل.
وأوضحت الدراسة - التي ناقشتها مؤتمرات أمنية متخصصة مثل «WOOT’24» و«WOOT’25» - أن طريقة إدارة مفاتيح التشفير في خاصية ربط أكثر من جهاز واحد بالحساب نفسه تُنتج أنماطاً رقمية يمكن قراءتها عن بُعد لأغراض الاستطلاع في سلاسل الهجوم السيبراني.
وتقوم آلية «واتساب» متعددة الأجهزة على إنشاء جلسة تشفير مستقلة لكل جهاز من أجهزة المستقبل، باستخدام مفاتيح مميزة يتم توليدها على الجهاز ذاته وليس على خوادم الشركة. غير أن الاختلافات في طريقة ترقيم مفاتيح «التوقيع المسبق» و«المفاتيح أحادية الاستخدام» بين «أندرويد» و«iOS» تجعل من الممكن استنتاج نوع نظام التشغيل من خلال مراقبة هذه المعرّفات الرقمّية من دون أي تفاعل من جانب المستخدم.
وذكرت الدراسة أن مهاجمين متقدمين يمكنهم - من خلال استعلامات سلبية تُوجَّه إلى خوادم «واتساب» للحصول على مفاتيح الجلسات - تحديد ما إذا كان الهدف يستخدم هاتفاً يعمل بنظام «أندرويد» أو «iOS»، تمهيداً لاختيار برمجيات خبيثة مصممة خصيصاً لكل نظام. ويسمح هذا الأسلوب بتنفيذ هجمات أكثر دقة، إذ يمكن توجيه برمجيات تجسسية أو حزم استغلال ثغرات إلى أجهزة «أندرويد» مع تجنب أنظمة أخرى لتقليل فرص اكتشاف الهجوم.
وقد سبقت هذه النتائج أعمال بحثية قادها الباحث تال أ. بيري في أوائل العام 2024، وهي الأعمال التي كشفت عن أن البنية القائمة على جلسات منفصلة لكل جهاز، والمستندة إلى بروتوكول «سيغنال»، تؤدي إلى تسريب عدد الأجهزة المرتبطة بالحساب وأنواعها وهوياتها. ثم تطورت الهجمات لاحقاً لتسمح للمهاجمين بتحديد أجهزة بعينها واستهدافها باستغلالات مخصصة، قبل أن يأتي بحث غابرييل كارل غيغنهوبر وزملائه في العام 2025 ليوثق بدقة آليات «البصمة الرقمية» لنظام التشغيل.
وأظهر الباحثون أن معرّفات مفاتيح «Signed Pre-Key» في أجهزة «أندرويد» كانت سابقاً تبدأ من الصفر وتزداد تدريجياً بوتيرة شهرية تقريباً، بينما تتبع أجهزة «iOS» نمطاً مختلفاً بشكل واضح يمكن تمييزه من خلال مراقبة سلوك المعرّفات.
