חולשת אבטחה חמורה שהתגלתה באפליקציית וואטסאפ לווינדוס (Windows) אפשרה לתוקפים להחביא קובץ מזיק בתוך קובץ שנראה כמו תמונה תמימה - כך הודיעה החברה. כל מה שהיה דרוש הוא לשכנע את המשתמש לפתוח את הקובץ - לא תרגיל מתוחכם במיוחד, בהתחשב בכך שרובנו פותחים כמעט כל דבר שמגיע ממישהו מוכר או מקבוצת השכונה.
הבעיה נבעה מהאופן שבו וואטסאפ מציגה קבצים מצורפים: הקובץ מוצג לפי סוג המידע שמצורף לו (מה שנקרא MIME type), אבל בפועל, ברגע שהמשתמש לוחץ כדי לפתוח אותו, האפליקציה מתייחסת לסיומת הקובץ האמיתית. כך, למשל, קובץ שמופיע כתמונה מסוג JPEG - אך מסתיים בסיומת .exe - עלול להיות למעשה תוכנה זדונית שמופעלת ברגע הלחיצה.
על פי הודעה רשמית שפרסמה מטא, החברה האם של וואטסאפ, מדובר בפגם אבטחה שהשפיע על כל הגרסאות של אפליקציית וואטסאפ ל-Windows עד לגרסה 2.2450.6. החולשה, שזוהתה תחת הקוד CVE-2025-30401, תוקנה בעדכון האחרון שיצא, ומומלץ לכל המשתמשים לעדכן מיד. במטא מדגישים כי ההפעלה אינה אוטומטית - המשתמש צריך לפתוח את הקובץ בעצמו - אך גם זו לא דרישה גבוהה במיוחד, בהתחשב בכך שהקובץ עלול להגיע ממישהו שנראה מהימן, עם כיתוב תמים כמו "תמונה מישיבת הוועד".
מומחי אבטחת מידע מסבירים כי חולשות מהסוג הזה מהוות סיכון משמעותי עבור המשתמש הממוצע: קובץ כזה יכול לשמש לפריצה למידע פרטי, להרצת תוכנות ריגול, להפצת נוזקות, ואף לגניבת זהות. "זו פגיעות לא נעימה בכלל, במיוחד עבור משתמשים שאינם טכניים", אמר אחד מהם. "קל מאוד לגרום לאדם להפעיל קובץ, במיוחד כשאין שום סימן מקדים למשהו חשוד".
נכון לעכשיו, לא דווח אם החולשה נוצלה בפועל על ידי תוקפים, אך כאמור - הסיכון קיים, והדרך להימנע ממנו פשוטה: לעדכן את האפליקציה. ואם בכל זאת קיבלתם את אותו JPEG מוועד הבית - אולי תוודאו פעמיים מה באמת מסתתר שם לפני שאתם לוחצים.