• Podczas konferencji Black Hat 2019 naukowcy odkryli kilka luk w zabezpieczeniach WhatsApp.
• Luki w zabezpieczeniach pozwalają złym podmiotom manipulować czatem.
• Facebook nie naprawia luk w zabezpieczeniach.

Ostatnie usterki bezpieczeństwa WhatsApp pozwalają złym aktorom sfałszować czat i sprawiają, że wyglądają, jakby pochodziły od ciebie, poinformował wczoraj Check Point Research. Check Point Research ogłosiło swoje ustalenia podczas konferencji bezpieczeństwa Black Hat 2019.

Według naukowców istnieją trzy sposoby wykorzystania luk w zabezpieczeniach:

1. Użyj funkcji „cytat” w rozmowie grupowej, aby zmienić tożsamość nadawcy, nawet jeśli ta osoba nie jest członkiem grupy.
2. Zmień tekst odpowiedzi innej osoby, w zasadzie wkładając słowa do ust.
3. Wyślij prywatną wiadomość do innego uczestnika grupy, który jest przebrany za publiczny dla wszystkich, więc gdy osoba docelowa odpowie, będzie widoczna dla wszystkich w rozmowie.

Check Point poinformował WhatsApp o lukach w sierpniu 2018 r. WhatsApp następnie naprawił trzecią metodę. Jednak naukowcy odkryli, że nadal można manipulować cytowanymi literami i fałszować je. Check Point użył rozszerzenia Burp Suit do złamania kompleksowego szyfrowania WhatsApp i odszyfrowania czatów. Elementem do wykorzystania tutaj jest wersja internetowa WhatsApp, która wykorzystuje kody QR do parowania z telefonem.

Check Point uzyskał najpierw parę kluczy publicznego i prywatnego utworzoną przed wygenerowaniem kodu QR przez WhatsApp. W połączeniu z „tajnym” parametrem wysyłanym przez telefon do klienta internetowego WhatsApp podczas skanowania kodu QR, rozszerzenie Burp Suit ułatwia monitorowanie i deszyfrowanie.

Rzecznik Facebooka przekazał następujące oświadczenie Następna sieć:

Dokładnie sprawdziliśmy ten problem rok temu i fałszywe jest sugerowanie, że istnieje luka w zabezpieczeniach zapewnianych przez WhatsApp. Opisany tutaj scenariusz jest jedynie mobilnym odpowiednikiem zmiany odpowiedzi w wątku e-mail, aby wyglądało na coś, czego dana osoba nie napisała. Musimy pamiętać, że rozwiązywanie problemów zgłoszonych przez tych badaczy może uczynić WhatsApp mniej prywatnym - na przykład przechowywanie informacji o pochodzeniu s.

Niestety wydaje się, że firma nie ma rozwiązania problemów z lukami WhatApp. Ponieważ usługa przesyłania wiadomości wykorzystuje szyfrowanie typu end-to-end, Facebook nie ma dostępu do odszyfrowanych wersji s. Oznacza to, że Facebook nie może interweniować, jeśli źli aktorzy wykorzystają wyżej wymienione luki.