קיבלתם תמונה בוואסטאפ? יש סיכוי שמנסים לפרוץ לכם למחשב

חולשת אבטחה חמורה שהתגלתה באפליקציית וואטסאפ לווינדוס (Windows) אפשרה לתוקפים להחביא קובץ מזיק בתוך קובץ שנראה כמו תמונה תמימה – כך הודיעה החברה. כל מה שהיה דרוש הוא לשכנע את המשתמש לפתוח את הקובץ – לא תרגיל מתוחכם במיוחד, בהתחשב בכך שרובנו פותחים כמעט כל דבר שמגיע ממישהו מוכר או מקבוצת השכונה.

הבעיה נבעה מהאופן שבו וואטסאפ מציגה קבצים מצורפים: הקובץ מוצג לפי סוג המידע שמצורף לו (מה שנקרא MIME type), אבל בפועל, ברגע שהמשתמש לוחץ כדי לפתוח אותו, האפליקציה מתייחסת לסיומת הקובץ האמיתית. כך, למשל, קובץ שמופיע כתמונה מסוג JPEG – אך מסתיים בסיומת .exe – עלול להיות למעשה תוכנה זדונית שמופעלת ברגע הלחיצה.

על פי הודעה רשמית שפרסמה מטא, החברה האם של וואטסאפ, מדובר בפגם אבטחה שהשפיע על כל הגרסאות של אפליקציית וואטסאפ ל-Windows עד לגרסה 2.2450.6. החולשה, שזוהתה תחת הקוד CVE-2025-30401, תוקנה בעדכון האחרון שיצא, ומומלץ לכל המשתמשים לעדכן מיד. במטא מדגישים כי ההפעלה אינה אוטומטית – המשתמש צריך לפתוח את הקובץ בעצמו – אך גם זו לא דרישה גבוהה במיוחד, בהתחשב בכך שהקובץ עלול להגיע ממישהו שנראה מהימן, עם כיתוב תמים כמו "תמונה מישיבת הוועד".