• Forskere afslørede flere WhatsApp-sårbarheder under Black Hat 2019-konferencen.
• Sårbarhederne tillader dårlige skuespillere at manipulere chat.
• Facebook har ikke en rettelse til sårbarhederne.

WhatsApps nylige sikkerhedsfejl tillader dårlige skuespillere at forfalde chat og få dem til at se ud som om de kom fra dig, rapporterede Check Point Research i går. Check Point Research annoncerede sine fund under sikkerhedskonferencen Black Hat 2019.

Ifølge forskerne var der tre måder at udnytte sårbarhederne på:

1. Brug funktionen "citat" i en gruppesamtale til at ændre afsenderens identitet, selvom denne person ikke er medlem af gruppen.
2. Ændre teksten til en andens svar, og læg i bund og grund ord i deres mund.
3. Send en privat til en anden gruppedeltager, der er forklædt som en offentlighed for alle, så når den målrettede person reagerer, er den synlig for alle i samtalen.

Check Point informerede WhatsApp om sårbarhederne i august 2018. WhatsApp fik derefter den tredje metode. Imidlertid fandt forskere, at det stadig er muligt at manipulere citerede s og forfalskes. Check Point brugte sin Burp Suit-udvidelse til at ødelægge WhatsApps ende-til-ende-kryptering og dekryptere chat. Det udnyttelige element her er webversionen af ​​WhatsApp, der bruger QR-koder til at parre til din telefon.

Check Point opnåede først det offentlige og private nøglepar oprettet, før WhatsApp genererer en QR-kode. Kombineret med den "hemmelige" parameter, der sendes af din telefon til WhatsApp-webklienten, når du scanner QR-koden, gør Burp Suit Extension det let at overvåge og dekryptere s.

En talsmand for Facebook afgav følgende erklæring til Den næste web:

Vi har nøje gennemgået dette problem for et år siden, og det er falske at antyde, at der er en sårbarhed med sikkerheden, vi leverer på WhatsApp. Scenariet, der er beskrevet her, er kun det mobile ækvivalent ved at ændre svar i en e-mail-tråd for at få det til at se ud som noget, en person ikke skrev. Vi skal være opmærksomme på, at det at gøre bekymringer, som disse forskere rejser, kunne gøre WhatsApp mindre privat - f.eks. At gemme information om oprindelsen af ​​s.

Desværre ser virksomheden ikke ud til at have en løsning på WhatApp-sårbarhederne. Da messaging-tjenesten bruger ende-til-ende-kryptering, kan Facebook ikke få adgang til dekrypterede versioner af s. Det betyder, at Facebook ikke kan gribe ind, hvis dårlige aktører udnytter de nævnte sårbarheder.