أطلقت واتساب، المملوكة لشركة ميتا، أداة جديدة لتطوير برنامج مكافآت اكتشاف الثغرات (Bug Bounty) لديها، لتسهيل عمل الباحثين في استكشاف بروتوكول الشبكة الخاص بالتطبيق. تأتي هذه الخطوة في إطار جهود ميتا المستمرة لتعزيز أمن وخصوصية مستخدمي واتساب البالغ عددهم 3.5 مليار حول العالم.
تهدف هذه المبادرة إلى تبسيط عملية البحث للمختصين في الأمن السيبراني، خاصة مع تزايد الاهتمام بأمن التطبيق وتزايد الأنشكي الأمنية التي تستهدفه. يأتي هذا التطوير ليؤكد التزام الشركة بتوفير بيئة آمنة لمستخدميها.
تسهيل البحث عن الثغرات الأمنية في واتساب
أعلنت واتساب عن إتاحة أداة جديدة تحت اسم “WhatsApp Research Proxy” لعدد من الباحثين المخضرمين ضمن برنامج مكافآت الثغرات. تهدف هذه الأداة إلى مساعدتهم في البحث بشكل أكثر فعالية وتعمق في بروتوكول شبكة واتساب.
إن تسهيل استكشاف تقنيات واتساب أصبح أمراً ضرورياً، نظراً لأن التطبيق يمثل هدفاً جذاباً للجهات الحكومية الموجهة وشركات برامج التجسس التجارية. وبالتالي، فإن توفير أدوات متخصصة للباحثين يمكن أن يساهم في اكتشاف نقاط الضعف المحتملة وسدها قبل استغلالها.
إضافة إلى ذلك، تقوم الشركة بتأسيس مبادرة تجريبية جديدة تدعو فرق بحثية للتركيز على إساءة استخدام المنصة، مع تقديم دعم من الهندسة الداخلية والأدوات اللازمة. وتهدف ميتا إلى خفض حاجز الدخول للباحثين الأكاديميين وغيرهم ممن قد لا يكونون على دراية ببرامج مكافآت الثغرات للانضمام إلى البرنامج.
نتائج برنامج مكافآت الثغرات
في إطار إعلانها، أشارت شركة ميتا إلى أنها منحت أكثر من 25 مليون دولار كجوائز لاكتشاف الثغرات لأكثر من 1400 باحث من 88 دولة على مدار السنوات الخمس عشرة الماضية. وتم دفع أكثر من 4 ملايين دولار هذا العام وحده لحوالي 800 تقرير سليم، فيما تلقت الشركة نحو 13 ألف مشاركة.
وقد تضمنت بعض الاكتشافات الملحوظة ثغرة في التحقق غير المكتمل في واتساب قبل الإصدارات v2.25.23.73، وWhatsApp Business لنظام iOS v2.25.23.82، وWhatsApp لنظام Mac v2.25.23.83، والتي كان من الممكن أن تسمح لمستخدم بتشغيل معالجة محتوى تم استرداده من عنوان URL عشوائي على جهاز مستخدم آخر. ولم يتم العثور على دليل على استغلال هذه المشكلة في الواقع.
من جانب آخر، أصدرت ميتا تصحيحاً على مستوى نظام التشغيل للتخفيف من المخاطر التي تشكلها ثغرة أمنية تم تتبعها بالرمز CVE-2025-59489 (درجة CVSS: 8.4)، والتي كان من الممكن أن تسمح للتطبيقات الضارة المثبتة على أجهزة Quest بالتلاعب بتطبيقات Unity لتحقيق تنفيذ تعليمات برمجية عشوائية. وقد تم الإشادة بالباحث ريوتاك من شركة Flatt Security لاكتشافه الإبلاغ عن هذه الثغرة.
حماية مستخدمي واتساب من تسرب البيانات
أخيراً، ذكرت ميتا أنها أضافت حمايات ضد كشط البيانات (Anti-Scraping) إلى واتساب، وذلك بعد تقرير مفصل لطريقة جديدة لاستخراج بيانات حسابات واتساب على نطاق واسع عبر 245 دولة وبناء مجموعة بيانات تحتوي على كل مستخدم، متجاوزة بذلك قيود تحديد معدل الطلبات التي يفرضها النظام. ويبلغ عدد مستخدمي واتساب النشطين حوالي 3.5 مليار مستخدم.
تستغل هذه الهجمة ميزة شرعية في واتساب لاكتشاف جهات الاتصال، والتي تتطلب من المستخدمين أولاً التحقق مما إذا كانت جهات اتصالهم مسجلة على المنصة. وهذا يسمح للمهاجم فعلياً بتجميع معلومات أساسية متاحة للجمهور، بالإضافة إلى صور الملف الشخصي، ونصوص “حول”، والطوابع الزمنية المرتبطة بالتحديثات الرئيسية المتعلقة بهذين السمتين. وأكدت ميتا عدم وجود أي مؤشرات على إساءة استخدام هذا المتجه العدو في سياق خبيث.
مثير للاهتمام أن الدراسة وجدت ملايين أرقام الهواتف المسجلة على واتساب في بلدان يُمنع فيها التطبيق رسمياً، بما في ذلك 2.3 مليون في الصين ومليون و600 ألف في ميانمار. ووفقاً للباحث غابرييل غيغينهوبر، الباحث في جامعة فيينا والمؤلف الرئيسي للدراسة، فإن النظام لم يكن يستجيب لعدد كبير من الطلبات في فترة زمنية قصيرة، خاصة عندما تنشأ من مصدر واحد. وقد كشف هذا السلوك عن خلل أساسي سمح لهم بإصدار طلبات غير محدودة إلى الخادم، وبالتالي، رسم خرائط لبيانات المستخدمين في جميع أنحاء العالم.
قال نيتين غوبتا، نائب رئيس الهندسة في واتساب: “لقد كنا نعمل بالفعل على أنظمة رائدة في الصناعة ضد كشط البيانات، وكانت هذه الدراسة أداة أساسية في اختبار وتأكيد فعالية هذه الدفاعات الجديدة على الفور”. وأضاف: “من المهم أن الباحثين حذفوا البيانات التي تم جمعها بشكل آمن كجزء من الدراسة، ولم نجد أي دليل على إساءة استخدام هذا المتجه من قبل جهات خبيثة. كتذكير، ظلت رسائل المستخدمين خاصة وآمنة بفضل التشفير الشامل الافتراضي لـ واتساب، ولم يتمكن الباحثون من الوصول إلى أي بيانات غير عامة”.
في وقت سابق من هذا العام، عرض غيغينهوبر وزملاؤه بحثاً آخر بعنوان “Careless Whisper” أظهر كيف يمكن لإيصالات التسليم أن تشكل مخاطر خصوصية كبيرة على المستخدمين، مما يسمح للمهاجم بإرسال رسائل مصممة خصيصاً لتشغيل إيصالات التسليم دون معرفتهم أو موافقتهم واستخراج حالة نشاطهم.
وأشار الباحثون: “باستخدام هذه التقنية بتردد عالٍ، نوضح كيف يمكن للمهاجم استخراج معلومات خاصة، مثل تتبع مستخدم عبر أجهزة مصاحبة مختلفة، واستنتاج جدوله اليومي، أو استنتاج الأنشطة الحالية”. وأضافوا: “بالإضافة إلى ذلك، يمكننا استنتاج عدد جلسات المستخدم النشطة حالياً (أي الأجهزة الرئيسية والمصاحبة) ونظام تشغيلها، بالإضافة إلى شن هجمات استنزاف للموارد، مثل استنزاف بطارية المستخدم أو حصته من البيانات، كل ذلك دون إنشاء أي إشعار على جانب الهدف.”