- Teadlased avastasid Black Hat 2019 konverentsi ajal mitu WhatsApi haavatavust.
- Haavatavused võimaldavad halbadel näitlejatel manipuleerida vestlustega.
- Facebookil pole turvaaukude parandamist.
WhatsApi hiljutised turvavead võimaldavad halbadel näitlejatel jututoas rüvetada ja panna nad välja nägema nagu nad tulid teie juurest, teatas Check Point Research eile. Check Point Research teatas oma järeldustest Black Hat 2019 turbekonverentsil.
Teadlaste sõnul oli haavatavuste ärakasutamiseks kolm viisi:
- Kasutage grupivestluses funktsiooni „tsitaat” saatja identiteedi muutmiseks, isegi kui see inimene pole rühma liige.
- Muutke kellegi teise vastuse teksti, pannes sisuliselt sõnad suhu.
- Saatke privaatsus teisele rühmas osalejale, kes on varjatud kõigi jaoks avalikuks, nii et kui sihitud isik reageerib, on see vestluses kõigile nähtav.
Kontrollpunkt teavitas WhatsAppi haavatavustest augustis 2018. WhatsApp fikseeris seejärel kolmanda meetodi. Teadlased leidsid, et siiski on tsiteeritud s-dega manipuleerimine ja nende petmine. Kontrollpunkt kasutas oma Burp Suit-laiendit, et katkestada WhatsApi lõplik krüptimine ja dekrüpteerida vestluse s-id. Kasutatav element on siin WhatsApi veebiversioon, mis kasutab teie telefoniga sidumiseks QR-koode.
Kontrollpunkt hankis esmalt loodud avaliku ja privaatvõtmepaari, enne kui WhatsApp genereerib QR-koodi. Kombineerituna "salajase" parameetriga, mille teie telefon saadab WhatsApi veebikliendile QR-koodi skannimisel, on Burp Suit Extension hõlbus s-de jälgimiseks ja dekrüptimiseks.
Facebooki esindaja edastas järgmise avalduse Järgmine veeb:
Vaatasime selle teema aasta tagasi hoolikalt läbi ja on vale arvata, et meie WhatsApp-i pakutavas turvalisuses on haavatavus. Siin kirjeldatud stsenaarium on pelgalt mobiilne ekvivalent, mille korral muudetakse vastuseid e-posti teel, et see näeks välja nagu midagi, mida inimene ei kirjutanud. Peame meeles pidama, et nende teadlaste tõstatatud probleemidega tegelemine võib muuta WhatsApp vähem privaatseks - näiteks andmete päritolu käsitleva teabe talletamine.
Kahjuks ei paista ettevõttel olevat lahendust WhatApp nõrkade kohtade jaoks. Kuna sõnumsideteenus kasutab otspunktkrüptimist, ei pääse Facebook s-de dekrüptitud versioonidele. See tähendab, et Facebook ei saa sekkuda, kui halvad näitlejad kasutavad ülalnimetatud haavatavusi.
