ذكرت صحيفة هآرتس، بأن قراصنة إسلاميين استغلوا ثغرة تقنية معروف في تطبيق الدردشة الشهير واتس أب لمحاولة اختراق هاتف مسؤول إسرائيلي من اليمين المتطرف، والذي يشغل منصب نائب رئيس بلدية القدس، مما يسلط الضوء على مخاطر التقنية التي تسمح لأي شخص باختراق أي ضحية من خلال تطبيق واتس أب.
فوفقا لمقطع فيديو نشر على مجموعة الأمن السيبراني الإسرائيلية، يمكن رؤية المتسللين المشتبه بهم وهم يقومون بمحاولات متعددة لتسجيل الدخول إلى تطبيق واتس أب الخاص بـ أري كينج باستخدام رقم هاتفه، ثم القيام بعدة محاولات إضافية لتخمين رمز التحقق الذي يرسله التطبيق للمستخدمين في مثل هذه الحالات.
وقد كان الهدف من الهجوم، الذي لم يستبعده السياسي المثير للجدل، هو لإغلاق حساب كينج والسيطرة على محادثات واتس أب الخاص به، وهكذا يكشف كيف يمكن للقراصنة استغلال تطبيق المراسلة بسهولة لمنع الضحايا من الوصول إلى دردشات هواتفهم والتجسس عليهم.
وأشارت الصحيفة، إلى أنه قد تم الكشف عن هذه الثغرة التقنية خلال العام الماضي من قبل تساشي غانوت، المؤسس المشارك والرئيس التنفيذي لشركة استشارات الأمن السيبراني Pandora Security، حيث أبلغت الشركة وكذلك صحيفة "هآرتس" العبرية شركة فيسبوك المالكة لتطبيق واتس أب عن الثغرة، لكن عملاق وسائل التواصل الاجتماعي فشل في التصرف ولا يزال من الممكن استغلالها من قبل القراصنة السيبرانيين.
وذكرت الصحيفة، بأن استغلال الثغرة بغرض الاختراق سهل بشكل مذهل، حيث يستخدم المتسلل هاتفا محمولا تم تنزيل واتس أب وتثبيته عليه، ولكنه غير متصل بعد بالمنصة، ثم يرسل بريدا إلكترونيا إلى دعم العملاء الخاص بشركة واتس أب للإبلاغ عن أن الهاتف مسروق، وتقديم رقم الهاتف المحمول الخاص بالضحية والمطالبة به على أنه هاتف خاص بالمتسلل.
وبحسب ما قالته شركة واتس أب، فإنها تقوم بإغلاق الحساب على الفور، وإرسال تحذير للضحية على هاتفه، وبعد ذلك، باستخدام الهاتف المحمول الذي تم تثبيت واتس أب عليه، يحاول المتسلل الاتصال بالتطبيق باستخدام رقم الضحية لاختراقه، وردا على ذلك يرسل واتس أب رمز التحقق المكون من ستة أرقام إلى هاتف الضحية، وبهذا الطريقة يحصل المتسلل عليه.
وقد أكد كينج لصحيفة "هآرتس" أن المهاجمين حاولوا حمله على نقل رمز التحقق الذي حصل عليه، مما سمح لهم بالسيطرة الكاملة على حسابه، ولكنه لم يستجب لمطلبهم.
فبعد إدخال الأرقام العشوائية بشكل خاطئ مرارا وتكرارا، قامت شركة واتس أب بإغلاق الحساب، حيث تم إغلاقه في البداية لبضع دقائق ثم لمدة سبع ساعات، وسرعان ما يصل الإغلاق إلى 12 ساعة، وخلال ذلك الوقت، لا يمكن للضحية الوصول إلى حساب واتس أب الخاص به، وبالتالي، على الرغم من عدم اختراق الهاتف نفسه، يمكن للمهاجمين منع الضحايا من استخدام أداة اتصال حيوية محتملة.
لذلك، يجب التأكيد على أنه بالنسبة لهذا النوع من الهجوم، ليست هناك حاجة للمتسلل لإقناع أي شخص بالضغط على رابط ما، كما هو الحال مع برنامج التجسس Pegasus سيئ السمعة الذي استهدف تطبيق واتس أب، فكل ما هو مطلوب هو رقم هاتف الضحية، وبالإضافة إلى ذلك، حتى استخدام المصادقة الثنائية لا يمكن أن يمنع الهجوم، لأن الإبلاغ عن الهاتف المسروق سيؤدي إلى التحاويل على آلية الحماية هذه أيضا.
المصدر: صحيفة هآرتس