• Pētnieki konferences Black Hat 2019 laikā atklāja vairākas WhatsApp ievainojamības.
• Ievainojamība ļauj sliktiem dalībniekiem manipulēt ar tērzēšanas sarunām.
• Vietnē Facebook nav ievainojamību novēršanas.

Vakar WhatsApp nesenie drošības trūkumi ļauj sliktiem dalībniekiem sašutēt tērzēšanas sarunas un likt viņiem izskatīties tā, it kā viņi nāktu no jums, vakar ziņoja Check Point Research. Check Point Research paziņoja par saviem atklājumiem Black Hat 2019 drošības konferencē.

Pēc pētnieku domām, ievainojamības izmantošanai bija trīs veidi:

1. Izmantojiet “citāta” funkciju grupas sarunā, lai mainītu sūtītāja identitāti, pat ja šī persona nav grupas dalībniece.
2. Mainiet kāda cita atbildes tekstu, būtībā liekot mutē vārdus.
3. Nosūtiet privātu citam grupas dalībniekam, kas ir maskēts kā publisks visiem, tāpēc, kad mērķa indivīds reaģē, tas ir redzams visiem sarunas dalībniekiem.

Pārbaudes punkts informēja WhatsApp par ievainojamībām 2018. gada augustā. Pēc tam WhatsApp fiksēja trešo metodi. Tomēr pētnieki secināja, ka joprojām ir iespējams manipulēt ar citētajiem vārdiem un tos mānīt. Check Point izmantoja savu Burp Suit paplašinājumu, lai izjauktu WhatsApp tiešo šifrēšanu un atšifrētu tērzēšanas s. Šeit izmantojamais elements ir WhatsApp tīmekļa versija, kas izmanto QR kodus, lai izveidotu savienojumu pārī ar jūsu tālruni.

Check Point vispirms ieguva publisko un privāto atslēgu pāri, kas tika izveidots pirms WhatsApp ģenerēja QR kodu. Apvienojumā ar “slepeno” parametru, ko tālrunis nosūta WhatsApp tīmekļa klientam, kad skenējat QR kodu, Burp Suit Extension ļauj ērti pārraudzīt un atšifrēt s.

Facebook pārstāvis sniedza šo paziņojumu Nākamais tīmeklis:

Pirms gada mēs rūpīgi pārskatījām šo problēmu, un ir nepatiess domāt, ka mūsu ievietotajā vietnē WhatsApp nodrošinātā drošība ir ievainojama. Šeit aprakstītais scenārijs ir tikai mobilais ekvivalents, mainot atbildes e-pasta pavedienā, lai tas izskatās kā kaut kas, ko cilvēks neraksta. Mums jāpatur prātā, ka šo pētnieku izvirzīto problēmu risināšana varētu padarīt WhatsApp mazāk privātu - piemēram, saglabāt informāciju par s izcelsmi.

Diemžēl uzņēmumam, šķiet, nav izšķirtspējas par WhatApp ievainojamībām. Tā kā ziņojumapmaiņas pakalpojums izmanto tiešu šifrēšanu, Facebook nevar piekļūt s atšifrētām versijām. Tas nozīmē, ka Facebook nevar iejaukties, ja sliktie dalībnieki izmanto iepriekšminētās ievainojamības.