• Vedci odhalili niekoľko zraniteľností WhatsApp počas konferencie Black Hat 2019.
• Tieto chyby umožňujú zlým hercom manipulovať s chatmi.
• Facebook nemá opravené chyby.

Nedávne bezpečnostné chyby WhatsApp umožňujú zlým hercom spoof chatovať a vyzerajú tak, akoby prišli od vás, informoval včera Check Point Research. Spoločnosť Check Point Research oznámila svoje zistenia počas bezpečnostnej konferencie Black Hat 2019.

Podľa vedcov existujú tri spôsoby, ako zneužiť tieto slabiny:

1. Pomocou funkcie „úvodzovky“ v skupinovej konverzácii môžete zmeniť totožnosť odosielateľa, aj keď táto osoba nie je členom skupiny.
2. Zmeniť text odpovede niekoho iného, ​​hlavne vkladaním slov do úst.
3. Pošlite súkromnú osobu inému účastníkovi skupiny, ktorý je maskovaný ako verejnosť pre všetkých, takže keď cieľová osoba odpovie, je viditeľná pre všetkých v konverzácii.

Check Point informoval WhatsApp o zraniteľnostiach v auguste 2018. WhatsApp potom opravil tretiu metódu. Vedci však zistili, že je stále možné manipulovať s citovanými dokumentmi a falšovať ich. Check Point použil rozšírenie Burp Suit Extension na prerušenie šifrovania medzi koncovými bodmi WhatsApp a na dešifrovanie rozhovorov. Užitočným prvkom je webová verzia WhatsApp, ktorá na spárovanie s telefónom používa QR kódy.

Check Point najskôr získal pár verejných a súkromných kľúčov vytvorených pred WhatsApp vygeneruje QR kód. V kombinácii s „tajným“ parametrom odoslaným telefónom do webového klienta WhatsApp pri skenovaní QR kódu umožňuje Burp Suit Extension ľahkú kontrolu a dešifrovanie.

Hovorca Facebooku poskytol nasledujúce vyhlásenie Ďalší web:

Tento problém sme pozorne preskúmali pred rokom a je nepravdivé tvrdiť, že existuje chyba zabezpečenia, ktorú poskytujeme na WhatsApp. Scenár, ktorý je tu opísaný, je iba mobilným ekvivalentom zmeny odpovedí v e-mailovom vlákne tak, aby vyzeralo ako niečo, čo človek nenapísal. Musíme si uvedomiť, že riešenie obáv, ktoré títo výskumníci vyvolali, by mohlo spôsobiť, že WhatsApp bude menej súkromný - napríklad ukladanie informácií o pôvode týchto výskumných pracovníkov.

Zdá sa, že spoločnosť bohužiaľ nemá riešenie zraniteľností WhatApp. Pretože služba správ používa šifrovanie end-to-end, Facebook nemá prístup k dešifrovaným verziám s. To znamená, že Facebook nemôže zasiahnuť, ak zlí herci zneužijú uvedené zraniteľné miesta.