- Tyrėjai atskleidė kelis „WhatsApp“ pažeidžiamumus konferencijos „Black Hat 2019“ metu.
- Dėl pažeidžiamumo blogi aktoriai gali manipuliuoti pokalbiais.
- „Facebook“ nepataisė pažeidžiamumų.
Vakar pranešę „Check Point Research“, „WhatsApp“ neseniai įvykę saugumo trūkumai leidžia blogiems veikėjams apgaudinėti pokalbius ir priversti juos atrodyti taip, lyg jie kiltų iš jūsų. „Check Point Research“ paskelbė savo išvadas per „Black Hat 2019“ saugumo konferenciją.
Pasak tyrėjų, pažeidžiamumą galima išnaudoti trimis būdais:
- Norėdami pakeisti siuntėjo tapatybę, naudokite „citatos“ funkciją grupės pokalbyje, net jei tas asmuo nėra grupės narys.
- Pakeiskite kieno nors atsakymo tekstą, iš esmės įdėdami žodžius į burną.
- Nusiųskite privatų ryšį kitam grupės dalyviui, paslėptam visiems kaip vieša, taigi, kai tikslinis asmuo sureaguos, jis bus matomas visiems pokalbio dalyviams.
„Check Point“ informavo „WhatsApp“ apie pažeidžiamumą 2018 m. Rugpjūčio mėn. „WhatsApp“ nustatė trečiąjį metodą. Tačiau tyrėjai nustatė, kad vis dar įmanoma manipuliuoti cituojamomis knygomis ir jas apgaudinėti. „Check Point“ naudojo savo „Burp Suit“ plėtinį, kad nutrauktų „WhatsApp“ šifravimą nuo galo iki galo ir iššifruotų pokalbių programas. Išnaudojamas elementas yra internetinė „WhatsApp“ versija, kuri naudoja QR kodus, kad suporuotų jūsų telefoną.
„Check Point“ pirmiausia įsigijo viešų ir privačių raktų porą, sukurtą prieš „WhatsApp“ sugeneruojant QR kodą. Kartu su „slaptu“ parametru, kurį jūsų telefonas siunčia „WhatsApp“ žiniatinklio klientui nuskaitydamas QR kodą, „Burp Suit Extension“ leidžia lengvai stebėti ir iššifruoti.
„Facebook“ atstovas pateikė šį pareiškimą Kitas internetas:
Mes atidžiai peržiūrėjome šią problemą prieš metus ir klaidinga manyti, kad mūsų „WhatsApp“ teikiamas saugumas yra pažeidžiamas. Čia aprašytas scenarijus yra tik mobiliųjų telefonų atitikmuo, kai atsakymai keičiami el. Pašto gijoje, kad jie atrodytų taip, kaip žmogus nerašė. Turime nepamiršti, kad šių tyrėjų iškeltų problemų sprendimas gali paversti „WhatsApp“ mažiau privačiu - pavyzdžiui, informacijos apie jų kilmę saugojimu.
Deja, panašu, kad bendrovė neturi sprendimo dėl „WhatApp“ pažeidžiamumų. Kadangi pranešimų paslauga naudoja šifravimą nuo galo iki galo, „Facebook“ negali pasiekti iššifruotų s versijų. Tai reiškia, kad „Facebook“ negali įsikišti, jei blogi veikėjai išnaudoja aukščiau paminėtas spragas.
