Петр Шкута Многие уязвимости были выявлены на проходящей конференции по безопасности Black Hat. Среди них — ошибки в приложении WhatsApp, позволяющие злоумышленникам изменять содержание сообщений.
Дыры в WhatsApp можно использовать тремя возможными способами. Самое интересное — это когда вы меняете содержание отправляемого сообщения. В результате будет отображен текст, который вы на самом деле не писали.
Возможно вас интересует
Есть два варианта:
- Злоумышленник может использовать функцию «ответить» в групповом чате, чтобы запутать личность отправителя сообщения. Даже если данного человека вообще нет в групповом чате.
- Более того, он может заменить цитируемый текст любым содержанием. Таким образом, оно может полностью перезаписать исходное сообщение.
В первом случае цитируемый текст легко изменить, чтобы он выглядел так, как будто его написали вы. Во втором случае вы не меняете личность отправителя, а просто редактируете поле с цитируемым сообщением. Текст можно полностью переписать и новое сообщение увидят все участники чата.
На следующем видео все показано графически:
Эксперты Check Point также нашли способ смешивать публичные и личные сообщения. Однако Facebook удалось это исправить в обновлении WhatsApp. И наоборот, описанные выше атаки не были исправлены наверное, даже не смогу это исправить. В то же время об уязвимости известно уже много лет.
Ошибку сложно исправить из-за шифрования.
Вся проблема заключается в шифровании. WhatsApp использует шифрование между двумя пользователями. Затем уязвимость использует групповой чат, где вы уже можете видеть перед собой расшифрованные сообщения. Но Facebook вас не видит, поэтому по сути не может вмешаться.
Для имитации атаки эксперты использовали веб-версию WhatsApp. Это позволяет вам выполнить сопряжение с компьютером (веб-браузером) с помощью QR-кода, который вы загружаете в свой смартфон.
После связывания закрытого и открытого ключей генерируется QR-код, включающий «секретный» параметр, который отправляется из мобильного приложения в веб-клиент WhatsApp. Пока пользователь сканирует QR-код, злоумышленник может воспользоваться моментом и перехватить сообщение.
После того, как злоумышленник получит данные о человеке, групповом чате, включая уникальный идентификатор, он может, например, изменить личность отправленных сообщений или полностью изменить их содержание. Таким образом, других участников чата можно легко обмануть.
В обычных разговорах между двумя сторонами очень мало риска. Но чем больше разговоров, тем сложнее ориентироваться в новостях и тем легче фейковым новостям выглядеть как настоящие. Так что полезно быть осторожным.
Возможно вас интересует
Дэвид Ханак Источник: 9to5Mac
