• Během konference Black Hat 2019 vědci odhalili několik zranitelností WhatsApp.
• Tato zranitelnost umožňuje špatným hercům manipulovat s chatem.
• Facebook nemá opravy chyb zabezpečení.

Nedávné bezpečnostní chyby WhatsApp umožňují špatným hercům spoof chatovat a vypadat, jako by přišli od vás, informoval včera Check Point Research. Společnost Check Point Research oznámila svá zjištění během bezpečnostní konference Black Hat 2019.

Podle vědců existují tři způsoby, jak zneužít zranitelnosti:

1. Pomocí funkce „citace“ ve skupinové konverzaci můžete změnit totožnost odesílatele, i když tato osoba není členem skupiny.
2. Změňte text odpovědi někoho jiného a v podstatě vkládejte do úst slova.
3. Pošlete soukromému jinému účastníkovi skupiny, který je maskován jako veřejnost pro všechny, takže když cílený jednotlivec odpoví, je viditelný pro všechny v konverzaci.

Check Point informoval WhatsApp o zranitelnostech v srpnu 2018. WhatsApp poté opravil třetí metodu. Vědci však zjistili, že je stále možné manipulovat s citacemi a spoofovat. Check Point použil rozšíření Burp Suit Extension k přerušení šifrování mezi koncovými body a dešifrování chatů WhatsApp. Využitelným prvkem je webová verze WhatsApp, která pomocí QR kódů spáruje váš telefon.

Check Point nejprve získal pár veřejných a soukromých klíčů vytvořených před WhatsApp vygeneruje QR kód. V kombinaci s parametrem „tajný“ odeslaným telefonem na webového klienta WhatsApp při skenování kódu QR usnadňuje Burp Suit Extension monitorování a dešifrování.

Mluvčí Facebooku poskytl následující prohlášení Další web:

Tento problém jsme pečlivě zkontrolovali před rokem a je nepravdivé navrhnout, že existuje chyba zabezpečení, které poskytujeme na WhatsApp. Zde popsaný scénář je pouze mobilním ekvivalentem změny odpovědí v e-mailovém vláknu tak, aby vypadal jako něco, co člověk nenapsal. Musíme si uvědomit, že řešení problémů vyvolaných těmito vědci by mohlo vést k tomu, že WhatsApp bude méně soukromý - například ukládání informací o původu.

Zdá se, že společnost bohužel nemá řešení zranitelností WhatApp. Protože služba zasílání zpráv používá šifrování typu end-to-end, Facebook nemá přístup k dešifrovaným verzím s. To znamená, že Facebook nemůže zasáhnout, pokud špatní herci zneužijí výše uvedená zranitelnost.