В WhatsApp есть уязвимость, позволяющая хакерам вкладывать слова вам в рот


WhatsApp позиционирует себя как бесплатное и безопасное приложение для обмена сообщениями со сквозным шифрованием и межплатформенной поддержкой, что сделало его популярным вариантом. Однако он может быть не таким безопасным, как рекламируется. Уязвимости, обнаруженные в прошлом году, до сих пор не устранены, и в случае их злоупотребления злоумышленник может подделывать сообщения.
В прошлом году исследователи из Checkpoint раскрыли три вектора атак , объяснив, что они могут позволить хакеру изменить сообщения пользователя, изменить личность отправителя и сделать личные сообщения общедоступными. Один из них был устранен, но два вектора атаки все еще остаются, как недавно продемонстрировали исследователи на конференции Black Hat USA 2019 в Лас-Вегасе.
«Сквозное шифрование WhatsApp гарантирует, что только вы и человек, с которым вы общаетесь, можете прочитать то, что отправлено, и никто между ними, даже WhatsApp. Однако нам удалось перепроектировать исходный веб-код WhatsApp и успешно расшифровать WhatsApp. трафика», — рассказали исследователи КПП Роман Заикин и Одед Вануну.
Исследователи манипулировали схемой шифрования, которую использует WhatsApp, преобразовав протокол «protobuf2» в Json. Это позволило им увидеть, что происходит под капотом, и открыло дверь для обмена сообщениями. Одна из вещей, которые это делает возможным, — это изменение текста ответа пользователя, «по сути, кладущего миры в рот».
«В ходе этого процесса мы обнаружили новые уязвимости, которые могут позволить злоумышленникам перехватывать и манипулировать сообщениями, отправляемыми как в личных, так и в групповых беседах, что дает злоумышленникам огромные возможности для создания и распространения дезинформации из источников, которые кажутся надежными», — добавили исследователи.
WhatsApp был куплен Facebook в 2014 году за 19 миллиардов долларов. Платформа обмена сообщениями насчитывает более 1 миллиарда пользователей в более чем 180 странах, что делает подобные уязвимости еще более тревожными. Надеемся, внимание, которое это привлекает, побудит Facebook, наконец, исправить оставшиеся недостатки безопасности.
ОБНОВИТЬ После публикации этой статьи Facebook обратился к HotHardware с комментарием.
«Мы внимательно изучили эту проблему год назад, и было бы ложным предположить, что в системе безопасности, которую мы обеспечиваем в WhatsApp, есть уязвимость. Сценарий, описанный здесь, является просто мобильным эквивалентом изменения ответов в ветке электронной почты, чтобы они выглядели так, как будто их писал не человек. Мы должны помнить, что решение проблем, поднятых этими исследователями, может сделать WhatsApp менее конфиденциальным — например, хранение информации о происхождении сообщений», — сказал представитель Facebook.
Facebook также заявил, что сквозное шифрование остается безопасным и что, когда кто-то отвечает на сообщение, клиент WhatsApp копирует текст, доступный в приложении, и создает своего рода графическое представление, которое помогает людям следить за разговором.
Согласно Facebook, внесение изменений, которые предлагает Checkpoint, приведет к следующему:

  • Требовать, чтобы WhatsApp регистрировал все сообщения, чего мы не хотим делать из соображений конфиденциальности наших пользователей; или
  • Сделать невозможной доставку сообщений группам, когда один человек не был подключен к Интернету (т.е. в самолете), что привело бы к серьезным проблемам с юзабилити; или
  • Предотвратите возможность для пользователей цитировать ответ на сообщение, отправленное до присоединения нового члена группы, что также может вызвать проблемы.
  • У людей всегда есть возможность заблокировать отправителя, который пытается подделать сообщения, и они могут сообщить нам о проблемном содержании. Мы также работаем над блокировкой учетных записей, пытающихся изменить WhatsApp и использовать его для рассылки спама пользователям.
  • Подводя итог: главная цель WhatsApp — обеспечить конфиденциальность пользователей, а предлагаемые Checkpoint изменения в WhatsApp будут хуже для конфиденциальности пользователей.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал