قام تطبيق واتساب المملوك من شركة فيسبوك بإصلاح ستة ثغرات أمنية لم يتم الكشف عنها سابقًا في نظام الدردشة الخاص به. وتم الكشف عن هذه الخطوة في موقع استشاري أمني جديد مخصص يهدف إلى إعلام أكثر من مليوني مستخدم بالأخطاء وإبقائهم على اطلاع دائم بأمان التطبيق.

يعد الموقع الالكتروني جزءًا من جهد WhatsApp ليكون أكثر شفافية بشأن نقاط الضعف الموجودة في النظام الأساسي، أمام المجتمع والمستخدمين على حد سواء، بهدف تصحيح الأخطاء في الوقت المناسب والحفاظ على الأمن الرقمي. وأتى الموقع ردا على الانتقادات التي طالت الشركة في الماضي بخصوص أمن البيانات والمستخدمين.

وأوضحت الشركة في منشور علني بشأن الموقع الجديد: “نحن ملتزمون جدًا بالشفافية، ويهدف هذا المورد إلى مساعدة مجتمع التكنولوجيا الأوسع على الاستفادة من أحدث التطورات في جهودنا الأمنية”.

ستوفر الصفحة الاستشارية قائمة شاملة بتحديثات أمان WhatsApp وما يرتبط بها من نقاط ضعف وتعرضات مشتركة (CVEs)، مع أوصاف تهدف إلى مساعدة الباحثين على فهم تأثير الأخطاء.

وبذلك، سيلتزم واتساب “بأفضل الممارسات الصناعية” ولن يتم الكشف عن المشكلات الأمنية قبل “التحقيق الكامل” في المطالبات، وإصدار “الإصلاحات الضرورية” والتحديثات المقدمة من خلال متاجر التطبيقات المعنية.

 

6 ثغرات أمنية في واتساب

كشف تطبيق واتساب عن ستة أخطاء قامت الشركة بتصحيحها مؤخرًا، قبل أي دليل على استغلالها من قبل جهات مسيئة.

أحد هذه الأخطاء هي CVE-2020-1890 ، وتعكس مشكلة في التحقق من عنوان URL في إصدارات Android من WhatsApp و WhatsApp Business والتي كان من الممكن أن تتسبب في قيام مستلم رسالة تحتوي على بيانات مشوهة عن عمد بتحميل صورة من عنوان URL يتحكم فيه المرسل من دون علم المستخدم.

أما الأخطاء الأخرى، فتتطلب تفاعل المستخدم، مثل CVE-2019-11928 ، وهي مشكلة التحقق من صحة الإدخال في بعض إصدارات WhatsApp Desktop التي كان من الممكن أن تسمح بالبرمجة النصية عبر المواقع إذا نقر المستخدم على رابط من رسالة مباشرة مصممة خصيصًا.

هذا وأكدت WhatsApp أنها ستستمر في الكشف عن المشكلات وتصحيحها “في أسرع وقت ممكن”، مشيرة إلى أن خمسة من الأخطاء الستة قد تم تصحيحها في نفس اليوم الذي تم اكتشافها فيه. فيما استغرق العيب الأخير وقتًا أطول قليلاً لإصلاحه.

تم اكتشاف بعض الأخطاء من خلال برنامج Facebook bug-bounty ، والذي يغطي أيضًا مشكلات WhatsApp ، بينما تم العثور على أخطاء أخرى أثناء مراجعات الكود، أو بواسطة موظفي أمن الشركة وأنظمتها الآلية الخاصة، وفقًا للتقرير الذي صدر عن الشركة.