لإصلاح ثغرة خصوصية.. واتساب يطلق تحديثا هاما لـ آيفون
تاريخ النشر: 31st, January 2025 GMT
أطلق تطبيق واتساب WhatsApp، الذي يعتبر من بين أكثر منصات المراسلة أمانا في الوقت الحالي، تحديثا هاما لإصلاح ثغرة كبيرة تتعلق بالخصوصية في ميزة عرض الصور والفيديوهات لمرة واحدة على نظام iOS، كانت الثغرة تسمح للمستخدمين بالوصول إلى الصور والفيديوهات التي كان من المفترض أن تختفي بعد عرضها مرة واحدة، مما يهدد الهدف الرئيسي للميزة.
وبحسب ما ذكره موقع "indiatoday"، تم اكتشاف هذه المشكلة لأول مرة من قبل الباحث الأمني Ramshath، والذي أوضح إن الثغرة كانت تتيح للمستخدمين تجاوز حماية الخصوصية الخاصة بالعرض لمرة واحدة عبر التوجه إلى إعدادات تخزين التطبيق.
وذلك من خلال الذهاب إلى الإعدادات > التخزين والبيانات > إدارة التخزين، واختيار دردشة المرسل، يمكن للمستخدمين الوصول إلى الوسائط التي تم إرسالها عبر تصنيفها حسب الأحدث، مما يتسبب في بقاء المحتوى العابر في المتناول ويقوض تماما الغرض من الميزة التي تضمن اختفاء الوسائط الحساسة بعد مشاهدتها مرة واحدة.
وتعد هذه ليست المرة الأولى التي تواجه فيها الميزة بعض التحديات الأمنية، ففي سبتمبر من العام الماضي ، رصد باحث أمني يدعي Tal Be’ery، خلل تقني بميزة العرض لمرة واحدة، مما يسمح للمستخدمين بعرض وحفظ الوسائط على واتساب ويب، على الرغم من أن الميزة كانت تهدف فقط إلى العمل على تطبيقات أندرويد و iOS للمنصة. تم إصلاح هذه المشكلة في أوائل شهر ديسمبر الماضي.
وفي أواخر الأسبوع الماضي، تم توثيق عيب آخر ، مما يسمح للمستخدمين بحفظ الوسائط المرسلة عبر الخاصية بمجرد مشاهدتها إلى أجل غير مسمى، حتى بعد فتحه وإغلاقه داخل الدردشة.
ولم يظهر الخطأ اعتبارا من يوم الأربعاء الماضي، مما يشير إلى أن شركة "ميتا" قامت بإصلاح المشكلة من جانب الخادم خلال عطلة نهاية الأسبوع، ولم تعترف عملاق التكنولوجيا بعد علنا بالثغرة.
وأكدت الشركة الأم لتطبيق واتساب، أن الإصلاح كان قيد التنفيذ بالفعل عندما أبلغ الباحث عن الخطأ في الإصدار الأخير، ويعتبر التحديث الأخير أكثر من مجرد إصلاح للثغرة الأمنية، حيث يتضمن أيضا العديد من الميزات الجديدة.
ومن بين التحسينات، أصبح بإمكان المستخدمين الآن إجراء مكالمات دون الحاجة إلى حفظ أرقام الهواتف أولا، بالإضافة إلى تحسينات في إمكانيات الاتصال الجماعي، وتهدف هذه الإضافات إلى تعزيز تجربة المستخدم مع الحفاظ على تركيز التطبيق على الخصوصية والأمان.
المصدر: صدى البلد
كلمات دلالية: واتساب ثغرة المزيد
إقرأ أيضاً:
تحذير أمني.. ثغرة خطيرة في أداة Gemini CLI من جوجل تهدد المطورين
كشفت شركة Tracebit المتخصصة في الأمن السيبراني عن وجود ثغرة أمنية خطيرة في أداة Gemini CLI، التي أطلقتها جوجل في 25 يونيو لمساعدة المطورين على كتابة التعليمات البرمجية باستخدام تقنية Google Gemini مباشرة عبر سطر الأوامر.
الثغرة تنفذ أوامر خبيثة لسرقة بيانات المطوريم دون علمهموفقا لـ Tracebit، تم اكتشاف الثغرة بعد يومين فقط من إطلاق الأداة، حيث تجمع بين ضعف في التحقق من صحة الأوامر، وهجوم حقن الأوامر Prompt Injection، وتجربة مستخدم مضللة
كل ذلك مكن المهاجمين من تنفيذ تعليمات برمجية ضارة بصمت، بمجرد قيام المستخدم بفحص شيفرة غير موثوقة، مما يسمح بسرقة بيانات الاعتماد والمعلومات الحساسة من جهاز المطور وإرسالها إلى خوادم خارجية، دون علمه.
وقد أوضحت Tracebit في مدونة تقنية الطريقة التي يمكن من خلالها استغلال الثغرة، مشيرة إلى أن الهجوم قد لا يكتشف بسهولة من قبل الضحية بسبب طبيعة تنفيذ الاستغلال في الخلفية.
إفصاح واستجابة جوجلأبلغت Tracebit شركة جوجل عن الثغرة عبر برنامج Bug Hunters في 27 يونيو، أي بعد يومين فقط من إطلاق الأداة.
في البداية، صنفت جوجل الثغرة كـ أولوية منخفضة، لكنها عدلت التصنيف إلى P1, S1 (الأعلى خطورة وأولوية) في 23 يوليو بعد تبين خطورتها.
وفي 25 يوليو، أطلقت جوجل تحديثا جديدا (الإصدار 0.1.14) يتضمن إصلاحا للثغرة، وأعلنت عنه رسميا في 28 يوليو بعد الاتفاق مع الباحثين الأمنيين.
خلال الفترة التي امتدت لنحو شهر بين إطلاق الأداة وإصدار التحديث، لوحظ أن عدة باحثين أمنيين اكتشفوا بعض عناصر الثغرة بشكل مستقل.
كيف يؤثر ذلك على المستخدمين؟ وما هو الحل؟
يمنع التحديث الجديد تنفيذ الأوامر بشكل خفي، حيث يعرض للمستخدمين تحذيرات صريحة في حال محاولة تنفيذ شيفرات ضارة، ويتطلب منهم الموافقة اليدوية على تشغيل أي ملفات تنفيذية إضافية.
كما أكدت جوجل أن الأداة الآن تعتمد على نموذج أمني متعدد الطبقات يشمل:
- تشغيل الأوامر داخل بيئات معزولة Sandboxing عبر أدوات مثل Docker وPodman.
- تحذيرات بارزة باللون الأحمر في حال تعطيل العزل.
- حاويات معدة مسبقا لتأمين تنفيذ الأوامر بشكل تلقائي دون تعريض النظام للخطر.
كما أكدت Tracebit على أهمية التحقق دائما من الشيفرة غير الموثوقة، وخاصة مع الانتشار الواسع لأدوات الذكاء الاصطناعي في بيئة تطوير البرمجيات. ودعت المستخدمين إلى:
- تحديث الأداة فورا إلى الإصدار الأخير
تفعيل ميزات العزل sandboxing عند العمل مع مصادر غير معروفة
كم عمر الدرع وأبناء درع السودان وهل لديهم ثقافة حرب عمرها يتجاوز العشرين عام