ثغرات أمنية في واتساب تتسبب في تسريب بيانات المستخدم الوصفية، بما في ذلك نظام تشغيل الجهاز

 

 

لطالما تسبب بروتوكول التشفير متعدد الأجهزة في واتساب في تسريب البيانات الوصفية، مما يسمح للمهاجمين بتحديد بصمة أنظمة تشغيل أجهزة المستخدمين، وهو ما يُسهّل نشر البرامج الضارة المُستهدفة. تُشير الحديثة إلى بعض الإصلاحات الجزئية التي، لكن مشاكل الشفافية لا تزال قائمة.

يستخدم واتساب، والذي يضم أكثر من 3 مليارات مستخدم نشط شهريًا، التشفير التام بين الطرفين (E18E) لأمن الرسائل؛ ومع ذلك، فإن ميزة تعدد الأجهزة فيه تكشف معلومات الجهاز. 

 في هذا الإعداد، يُنشئ المُرسِلون جلسات منفصلة مع كل جهاز مُستقبِل، باستخدام مفاتيح تشفير فريدة تُولَّد على الجهاز نفسه بدلاً من الخوادم.

تُفصح اختلافات التنفيذ في مُعرِّفات المفاتيح، مثل المفتاح المُوقَّع مُسبقًا (Sd PK) والمفتاح المُوقَّع لمرة واحدة مُسبقًا (OuyK)، عمَّا إذا كان الجهاز يعمل بنظام Android أو iOS، وهو أمر بالغ الأهمية للاستطلاع في سلاسل الهجمات الإلكترونية.

يستغل المُهاجمون هذا الأمر بشكل سلبي من خلال الاستعلام عن خوادم واتساب عن مفاتيح الجلسات دون تفاعل المستخدم، وتحديد أنواع أنظمة التشغيل لنشر ثغرات أمنية مُحدَّدة وبرامج خبيثة خاصة بنظام Android على أجهزة Android، مع تجنُّب أجهزة iOS أو تنبيه الضحايا.

كشفت  مطلع عام 2024 عن تسريبات لعدد الأجهزة وأنواعها وهوياتها عبر جلسات خاصة بكل جهاز، وذلك استنادًا إلى بروتوكول سيجنال.

وفي وقت لاحق من ذلك العام، حدد المهاجمون أجهزة معينة لاستغلالها. وفي عام 2025، قدم غابرييل كارل غيغنهوبر تفاصيل حول بصمة نظام التشغيل: إذ تتزايد معرّفات المفاتيح الرئيسية الموقعة لنظام أندرويد ببطء من الصفر شهريًا، بينما تختلف أنماط نظام iOS اختلافًا كبيرًا. 

 من ذلك باستخدام أدوات مخصصة، مؤكدًا أن المهاجمين يستغلون هذه الثغرة بشكل متسلسل: الكشف عن نظام التشغيل، ثم إيصال حمولات خاصة بنظام التشغيل دون أن يتم رصدها.

إصلاح واتساب الصامت

مؤخرًا، غيّر واتساب آلية تعيين معرّفات المفاتيح الرئيسية الموقعة لنظام أندرويد إلى قيم عشوائية ضمن نطاق 24 بت، مما أحبط هذا الأسلوب. هذا التغيير، الذي تم رصده عبر أدوات المراقبة، يمثل تحولًا عن موقف ميتا السابق، الذي اعتبره غير قابل للتنفيذ. 

 مع ذلك، يظل نظام OK قابلاً للتمييز: يبدأ نظام iOS برقم منخفض ويتزايد كل بضعة أيام، بينما يمتد نطاق نظام Android بشكل عشوائي كامل. ولا تزال الأدوات المُعدّلة بعد التحديث قادرة على اكتشاف نظام التشغيل بكفاءة.

يُمكّن هذا التهديدات المستمرة المتقدمة (APs) من استخدام واتساب كأداة لنشر البرامج الضارة، كما رأينا في حالات برنامج التجسس Ppn. ولا تصل أي إشعارات للمستخدم أثناء عمليات الاستعلام، مما يحافظ على التخفي.

 يشير النقاد إلى أن عملية الإطلاق افتقرت إلى تنبيهات الباحثين، ومكافآت اكتشاف الثغرات، وتخصيص رمز CVE، على عكس مشكلة مماثلة دُفعت فيها مكافأة دون تحديد رمز CVE. توثق رموز CVE المشكلات عبر درجات CVSS، لا عبر التشهير؛ ومثل هذه الإغفالات تعيق عملية التتبع.

وبينما تتطور الحلول، فإن التوزيع العشوائي الكامل عبر المنصات وشفافية رموز CVE من شأنهما حماية مليارات المستخدمين بشكل أفضل، مما يُتيح التعاون المجتمعي. ينبغي على المستخدمين الحد من الأجهزة المرتبطة ومراقبة النشاط في ظل المخاطر المستمرة.