- A kutatók számos WhatsApp sebezhetőséget fedeztek fel a Black Hat 2019 konferencia során.
- A sebezhetőség lehetővé teszi a rossz szereplők számára, hogy manipulálják a csevegést.
- A Facebook nem rendelkezik a biztonsági rések kijavításával.
A WhatsApp legutóbbi biztonsági hibái lehetővé teszik a rossz szereplőknek, hogy elcsábítsák a csevegőpartnereket, és olyannak látsszák őket, mintha tőled jöttek volna - jelentette tegnap a Check Point Research. A Check Point Research a Black Hat 2019 biztonsági konferencián jelentette be eredményeit.
A kutatók szerint háromféle módon lehet kihasználni a sebezhetőségeket:
- Használja a csoportos beszélgetés „idézet” funkcióját a feladó személyazonosságának megváltoztatásához, még akkor is, ha ez a személy nem tartozik a csoporthoz.
- Változtassa meg valaki más válaszának szövegét, lényegében szavakkal a szájába helyezve.
- Küldj magántulajdonban egy másik csoport résztvevőjét, aki mindenki számára álcázva van, így amikor a megcélzott egyén válaszol, a beszélgetésben mindenki számára látható.
A Check Point 2018 augusztusában tájékoztatta a WhatsApp-ot a sebezhetőségekről. A WhatsApp ezután rögzítette a harmadik módszert. A kutatók azonban úgy találták, hogy továbbra is lehetséges az idézett szavak manipulálása és hamisításuk. A Check Point a Burp Suit kiterjesztésével megszakította a WhatsApp teljes körű titkosítását és visszafejtette a csevegőket. A hasznosítható elem itt a WhatsApp webes verziója, amely QR-kódot használ a telefonhoz való párosításhoz.
A Check Point először megszerezte a létrehozott nyilvános és magánkulcs-párt, mielőtt a WhatsApp létrehoz egy QR-kódot. A „titkos” paraméterrel, amelyet telefonja küld a WhatsApp web kliensnek, amikor beolvassa a QR-kódot, a Burp Suit Extension megkönnyíti a sfigyelést és visszafejtést.
A Facebook szóvivője a következő nyilatkozatot nyújtott be a következőhöz: A következő web:
Egy éve gondosan áttekintettük ezt a kérdést, és hamis azt sugallni, hogy egy biztonsági rés a WhatsApp által nyújtott biztonságban van. Az itt leírt forgatókönyv pusztán a mobil megfelelője, amelyben a válaszokat megváltoztatják egy e-mail szálban, hogy úgy tűnjön, mintha valaki nem írt volna. Nem szabad megfeledkeznünk arról, hogy ezeknek a kutatóknak a felmerült aggályainak kezelése a WhatsApp kevésbé magántulajdonúvá válhat - például az adatok eredetére vonatkozó információk tárolása.
Sajnos úgy tűnik, hogy a vállalatnak nincs megoldása a WhatApp biztonsági réseire. Mivel az üzenetküldő szolgáltatás végpontok közötti titkosítást használ, a Facebook nem fér hozzá az s dekódolt verzióihoz. Ez azt jelenti, hogy a Facebook nem tud beavatkozni, ha a rossz szereplők kihasználják a fent említett sebezhetőségeket.