Petr Škuta Ħafna vulnerabbiltajiet ġew żvelati fil-konferenza dwar is-sigurtà tal-Black Hat li għaddejja. Fosthom hemm bugs fl-applikazzjoni WhatsApp li jippermettu lill-attakkanti jibdlu l-kontenut tal-messaġġi.
Toqob f'WhatsApp jistgħu jiġu sfruttati fi tliet modi possibbli. L-aktar interessanti huwa meta tibdel il-kontenut tal-messaġġ li qed tibgħat. Bħala riżultat, it-test li fil-fatt ma ktibtx se jintwera.
Jista 'jkun jinteressak
Hemm żewġ għażliet:
- Attakkant jista’ juża l-karatteristika ta’ “risposta” fi chat tal-grupp biex iħawwad l-identità ta’ min jibgħat il-messaġġ. Anke jekk il-persuna inkwistjoni mhija fil-chat tal-grupp xejn.
- Barra minn hekk, huwa jista 'jissostitwixxi t-test ikkwotat bi kwalunkwe kontenut. Għalhekk jista 'jissostitwixxi kompletament il-messaġġ oriġinali.
Fl-ewwel każ, huwa faċli li tbiddel it-test ikkwotat biex jidher li ktibtu. Fit-tieni każ, ma tbiddilx l-identità tal-mittent, iżda sempliċement teditja l-qasam bil-messaġġ ikkwotat. It-test jista 'jinkiteb kompletament mill-ġdid u l-messaġġ il-ġdid se jidher mill-parteċipanti kollha taċ-chat.
Il-video li ġej juri kollox b'mod grafiku:
L-esperti ta’ Check Point sabu wkoll mod kif iħalltu messaġġi pubbliċi u privati. Madankollu, Facebook irnexxielu jirranġa dan fl-aġġornament tal-WhatsApp. Bil-maqlub, l-attakki deskritti hawn fuq ma ġewx ikkoreġuti minn a probabbilment lanqas biss jista 'jranġaha. Fl-istess ħin, il-vulnerabbiltà ilha magħrufa għal snin.
L-iżball huwa diffiċli biex jiġi ffissat minħabba l-encryption
Il-problema kollha tinsab fil-kriptaġġ. WhatsApp tiddependi fuq il-kriptaġġ bejn iż-żewġ utenti. Il-vulnerabbiltà mbagħad tuża chat tal-grupp, fejn diġà tista 'tara l-messaġġi decrypted quddiemek. Imma Facebook ma jistax jarak, allura bażikament ma jistax jintervjeni.
L-esperti użaw il-verżjoni web ta’ WhatsApp biex jissimulaw l-attakk. Dan jippermettilek tgħaqqad kompjuter (web browser) billi tuża kodiċi QR li tgħabbi fl-ismartphone tiegħek.
Ladarba ċ-ċavetta privata u pubblika jkunu konnessi, kodiċi QR li jinkludi parametru "sigriet" jiġi ġġenerat u jintbagħat mill-app mobbli lill-klijent tal-web WhatsApp. Waqt li l-utent ikun qed jiskenja l-kodiċi QR, attakkant jista’ jaħtaf il-mument u jinterċetta l-komunikazzjoni.
Wara li attakkant ikollu dettalji dwar persuna, chat ta' grupp, inkluża ID unika, jista', pereżempju, ibiddel l-identità tal-messaġġi mibgħuta jew ibiddel kompletament il-kontenut tagħhom. Parteċipanti oħra taċ-chat jistgħu għalhekk jiġu mqarrqa faċilment.
Ftit li xejn hemm riskju involut f'konversazzjonijiet normali bejn żewġ partijiet. Iżda iktar ma tkun kbira l-konversazzjoni, iktar ikun diffiċli li wieħed jinnaviga l-aħbarijiet u iktar ikun faċli li aħbarijiet foloz jidhru bħall-ħaġa reali. Allura tajjeb li toqgħod attent.
Jista 'jkun jinteressak
David Hanak Sors: 9to5Mac
