חוקרי חברת צ'ק פוינט גילו חולשות המאפשרות לתוקפים לבצע מניפולציות בתכתובות באפליקצית ווטסאפ. חולשות הגנה שאותרו מאפשרות לתוקפים לזייף הודעות תגובה, להתחזות לאנשים שונים בתוך השיחה קבוצתית ולהזין מידע באופן סלקטיבי לחברים בקבוצה.
חולשות אלו מעניקות כוח משמעותי ביותר של יצירת מניפולציות בתוך קבוצה, ובכך להפיץ מידע שגוי ולהטות את השיחה על פי צרכיהם, מבלי להתגלות. ווטסאפ נחשבת לאפליקציית המסרים המובילה בעולם ומשתמשים בה מדי יום למעלה ממיליארד וחצי משתמשים. באפליקציה מועברות מדי יום כ-65 מיליארד הודעות, וכן מתקיימות בה למעלה ממיליארד קבוצות המאפשרות שיחה בין מספר משתמשים בו זמנית.
הפרצות מאפשרות כמה מתקפות ונזקים:
1. לערוך מחדש את הטקסט הכתוב בהודעת תגובה בשיחה ולכתוב בה כל טקסט העולה על רוחם של התוקפים (למעשה – לשים מילים אחרות בפיו של אדם שמעולם לא אמר אותן).
2. לשנות את השם של האדם המגיב בקבוצה לכל שם אותו הם בוחרים (ובכך לאפשר התחזות לאדם אחר, גם אם לא חבר בקבוצה)
3. לשלוח הודעה פרטית (ובכלל זאת טקסט, תמונה ווידאו) לאחד מחברי הקבוצה באופן שנראה שנשלח לכלל חברי הקבוצה, אך בפועל רק חבר אחד אותו בוחרים התוקפים, רואה את ההודעה הזו. במידה ואותו חבר קבוצה מגיב להודעה זו – כלל חברי הקבוצה רואים אותה (לתוקפים קיימת למעשה האפשרות לבחור איזו תגובה יראו כל אחד מחברי הקבוצה בנפרד).
לדברי עודד ואנונו, ראש מחלקת חולשות מוצרים בחברה "הפופולריות האדירה של ווטסאפ בקרב צרכנים, עסקים וממשלות הופכת אותה ליעד מועדף עבור תוקפים שרואים בה הזדמנות אדירה לייצר תחבולות", אומר החוקר.