وبعد الكشف عنها في أبريل 2025، عملت شركة ميتا مع الباحثين لإصلاحها بحلول أكتوبر من نفس العام، من خلال فرض حدود أكثر صرامة على الاستعلامات. ومع ذلك، يبقى السؤال: هل تم جمع بياناتك بالفعل قبل الإصلاح؟
ب. كيف تعمل الثغرة وما هي آلياتها الفنية
لنغوص أعمق قليلاً في كيفية عمل هذه الثغرة دون الغرق في التفاصيل الفنية المعقدة. في الأساس، يعتمد واتساب على بروتوكول يسمى "اكتشاف الاتصالات" لمساعدتك في العثور على أصدقائك الذين يستخدمون التطبيق. عندما تقوم بتحميل دفتر عناوينك، يرسل التطبيق استعلامات إلى خوادم ميتا للتحقق من الأرقام المسجلة. الثغرة هنا تكمن في عدم وجود آلية فعالة للحد من عدد هذه الاستعلامات، مما يسمح للمهاجم بإرسال ملايين الطلبات دون إثارة أي إنذار.
• المهاجم يمكنه إنشاء سكريبت بسيط يولد أرقام هواتف عشوائية أو مستهدفة، ثم يستعلم عنها عبر واجهة التطبيق.• النتيجة ليست مجرد تأكيد الوجود، بل يمكن استخراج بيانات إضافية مثل صور الملف الشخصي في 57% من الحالات، ونصوص "عني" في 29% منها.• هذا التعداد يمكن أن يؤدي إلى بناء قواعد بيانات هائلة تباع في السوق السوداء، مما يعرض المستخدمين للبريد المزعج أو الهجمات المستهدفة.
بالإضافة إلى ذلك، هناك ثغرات أخرى مرتبطة مثل CVE-2025-55177، التي تتيح تنفيذ هجمات بدون نقر (zero-click) عبر رسائل تزامن الأجهزة المرتبطة، مما يجعل الجهاز عرضة للتجسس دون تفاعل المستخدم.
جـ. التأثيرات على خصوصيتك ومحادثاتك اليومية
تخيل أن محادثاتك الخاصة مع العائلة أو الأصدقاء أصبحت عرضة للكشف بسبب رقم هاتفك المسجل. هذه الثغرة لا تكشف المحتوى المشفر، لكنها تفتح الباب لانتهاكات أوسع. على سبيل المثال، يمكن للمهاجمين استخدام البيانات المجموعة لإنشاء ملفات شخصية مفصلة، مما يسهل عمليات التصيد الاحتيالي أو حتى التجسس الحكومي.
• في دول مثل مصر، حيث يعتمد الكثيرون على واتساب للتواصل اليومي، قد يؤدي الكشف عن الحسابات إلى مخاطر أمنية شخصية، خاصة للصحفيين أو الناشطين.• الشركات قد تواجه تسرب بيانات عملائها إذا استخدمت واتساب للتواصل التجاري، مما يعرضها لعقوبات قانونية بموجب قوانين الخصوصية مثل GDPR.• على المستوى العالمي، كشفت الدراسة عن ملايين الحسابات في دول محظورة، مما يشير إلى استخدام VPN للالتفاف، لكنه يزيد من مخاطر التعقب.
وبحسب تقارير، تم استغلال ثغرات مشابهة في حملات تجسس متقدمة، مثل تلك التي تستخدم برمجيات مثل Pegasus، حيث يتم استهداف أجهزة محددة دون علم المستخدم.
د. خطوات أساسية لحماية نفسك من الثغرة
الآن، دعنا ننتقل إلى الجانب العملي: كيف يمكنك كمستخدم عادي اتخاذ إجراءات فورية لحماية خصوصيتك؟ البداية دائماً بالأساسيات، لكن مع لمسات مبتكرة تجعلها أكثر فعالية.
• قم بتحديث تطبيق واتساب إلى أحدث إصدار فوراً: اذهب إلى متجر Google Play أو App Store، وابحث عن التحديثات. الإصدارات بعد أكتوبر 2025 تشمل الإصلاحات للثغرة.• فعل التحقق بخطوتين: في إعدادات التطبيق، اذهب إلى الحساب > التحقق بخطوتين، وأدخل رمز PIN من 6 أرقام. هذا يمنع الوصول غير المصرح به حتى لو تم سرقة رقمك.• قم بتعديل إعدادات الخصوصية: في الخصوصية > من يمكنه رؤية معلوماتي الشخصية، حدد "لا أحد" أو "جهات الاتصال فقط" لصورة الملف، حالة "عني"، والظهور عبر الإنترنت.
بالإضافة، استخدم تطبيقات مساعدة مثل "WhatsApp Lock" من متجر التطبيقات لإضافة قفل بصمة إضافي على التطبيق.
هـ. إعدادات المستخدم العادي المتكاملة في واتساب للحماية الشاملة
كمستخدم عادي في مصر أو أي مكان آخر، يمكنك تطبيق مجموعة إعدادات مباشرة داخل التطبيق دون الحاجة إلى أدوات خارجية معقدة. هذه الإعدادات تحول حسابك إلى درع أمني يومي، خاصة بعد التحديثات الأخيرة في 2026.
• فعل "إعدادات الحساب الصارمة" (Strict Account Settings): اذهب إلى الإعدادات > الخصوصية > المتقدمة > فعل إعدادات الحساب الصارمة. هذه الميزة الجديدة تقفل الإعدادات على أكثر الخيارات تقييداً: تحظر الوسائط والمرفقات من أرقام غير معروفة، تكتم المكالمات من جهات غير محفوظة، تعطل معاينات الروابط، وتفعل التحقق بخطوتين تلقائياً. مناسبة إذا كنت تشعر بمخاطر مرتفعة، ويمكن إيقافها لاحقاً.
• قفل الدردشات والتطبيق: في الخصوصية > قفل الدردشة، فعل قفل الدردشات ببصمة أو وجه. كذلك، في الإعدادات > الخصوصية > قفل التطبيق، فعل قفل واتساب ببصمة الهاتف أو رمز PIN.
• حماية النسخ الاحتياطي والمفاتيح: في الإعدادات > الحساب > مفاتيح المرور (Passkeys)، أنشئ مفتاح مرور مرتبط ببصمتك أو وجهك. هذا يحمي النسخ الاحتياطي المشفر على Google Drive أو iCloud، ويمنع الوصول غير المصرح به حتى لو تم سرقة الهاتف.
• منع الإضافة العشوائية للمجموعات: في الخصوصية > المجموعات > اختر "جهات الاتصال الخاصة بي فقط" ليمنع أي شخص غريب من إضافتك إلى مجموعات.
• كتم المكالمات والرسائل المجهولة: في الخصوصية > المكالمات > كتم المكالمات من أرقام غير معروفة. وفي المتقدمة، فعل حظر كميات كبيرة من الرسائل من حسابات مجهولة.
• إخفاء المعلومات الشخصية: في الخصوصية > آخر ظهور ومتصل > اختر "لا أحد" أو "جهات الاتصال الخاصة بي". كرر ذلك لصورة الملف الشخصي، "عني"، والحالة.
هذه الخطوات تأخذ دقائق قليلة وتغطي معظم المخاطر اليومية دون التأثير الكبير على الاستخدام العادي.
و. حلول مبتكرة وأدوات إلكترونية لتعزيز الأمان
ليس الأمر يتوقف عند الإعدادات الأساسية؛ هناك طرق إبداعية لتحويل هاتفك إلى درع أمني. على سبيل المثال، استخدم VPN لإخفاء عنوان IP أثناء استخدام واتساب، مما يصعب تعقب نشاطك.
• قم بتثبيت تطبيق VPN موثوق مثل ExpressVPN أو NordVPN: بعد التثبيت، فعل الاتصال التلقائي، واختر خادماً في دولة أخرى لتجنب التعقب المحلي. هذا يحمي من الثغرات التي تعتمد على الموقع.
• استخدم برامج مكافحة البرمجيات الضارة مثل Malwarebytes: قم بتشغيل فحص دوري، وفعل خاصية "الحماية في الوقت الفعلي" لكشف أي محاولات تجسس عبر الرسائل.
• جرب بدائل آمنة مثل Signal أو Telegram للمحادثات الحساسة: في Signal، فعل "التحقق من الهوية" عبر مسح QR كود للتأكد من عدم التلاعب.
كما يمكنك إعداد سكريبت بسيط في Python باستخدام مكتبة Twilio لمراقبة تغييرات في رقم هاتفك، لكن تأكد من الامتثال للقوانين. هنا مثال بسيط على كود للتحقق: import twilio; client = twilio.rest.Client('account_sid', 'auth_token'); message = client.messages.create(body='تحقق أمني', from_='whatsapp:+14155238886', to='whatsapp:+your_number').
ز. نصائح متقدمة للمستخدمين المهتمين بالأمن السيبراني
إذا كنت من النوع الذي يحب الغوص في التفاصيل التقنية، هناك خطوات إضافية تحولك إلى خبير أمني منزلي. ابدأ بمراقبة النشاط في حسابك عبر ميزة "الأجهزة المرتبطة" في واتساب.
• في الإعدادات > الأجهزة المرتبطة، قم بفصل أي جهاز غير معروف، ثم أعد ربطه بمسح QR كود جديد.
• استخدم أداة مثل Wireshark لتحليل حركة البيانات: قم بتثبيتها على جهازك، وشغل التقاط الحزم أثناء استخدام واتساب لكشف أي نشاط مشبوه.
• فعل "الإشعارات الأمنية" في الخصوصية ليتم إخطارك بأي تغيير في رموز التشفير لجهات الاتصال.
هذه الخطوات ليست معقدة، بل هي قابلة للتنفيذ في دقائق، وتستهدف جمهوراً واسعاً من الشباب إلى كبار السن الذين يعتمدون على التطبيق يومياً.
ح. دراسات حالة وأمثلة حقيقية من الثغرات السابقة
لنجعل الأمر أكثر واقعية، دعنا ننظر إلى حوادث سابقة. في 2019، استغلت ثغرة مشابهة في واتساب لنشر برمجيات تجسس Pegasus، مما أثر على آلاف المستخدمين حول العالم. اليوم، مع الثغرة الجديدة، يمكن تكرار السيناريو بطرق أكثر بساطة.
• في حالة صحفي، تم استخدام بيانات من تعداد حسابات لاستهدافه ببريد مزعج، مما أدى إلى سرقة بياناته.• شركات كبيرة واجهت خسائر بسبب تسرب بياناتها من خلال ثغرات خصوصية.• حلول مثل استخدام "واتساب بيزنس" مع إعدادات خصوصية مشددة ساعدت في تقليل المخاطر.
ط. مستقبل الأمان في تطبيقات التواصل
مع تطور التهديدات، يجب على ميتا الاستمرار في تحسين الخوارزميات. ميزات جديدة مثل "الإعدادات الصارمة للحساب" التي أطلقت في 2026 توفر طبقات إضافية من الحماية، مثل حظر الروابط والمرفقات من مصادر غير معروفة.
• المستقبل يتضمن دمج الذكاء الاصطناعي لكشف الاستعلامات الشاذة تلقائياً.• تشجيع المستخدمين على استخدام تطبيقات متعددة لتوزيع المخاطر.• تعاون مع الحكومات لفرض قوانين أقوى على خصوصية البيانات.
ظ. رأي شخصي
ملخص هام جدا للموضوع: الثغرة في واتساب تكشف عن هشاشة الخصوصية في عالم التواصل الرقمي، حيث يمكن للمهاجمين كشف مليارات الحسابات دون جهد كبير، مما يهدد المحادثات اليومية. في رأيي، كخبير في الأمن السيبراني، هذه الثغرة ليست مجرد خطأ فني، بل تذكير بأن الاعتماد على تطبيق واحد يجعلنا عرضة للمخاطر. لقد رأيت في عملي كيف يمكن لمثل هذه الانتهاكات أن تدمر حياة أشخاص، من فقدان الثقة إلى خسائر مالية. أنصح دائماً بالتنويع في التطبيقات وتعزيز الوعي، فالحماية تبدأ من المستخدم نفسه. مع ذلك، أشيد بسرعة استجابة ميتا، لكن يجب أن تكون الشفافية أكبر في المستقبل. في النهاية، الخصوصية حق أساسي، وعلينا جميعاً المطالبة بمعايير أعلى للحفاظ عليه.