- Tutkijat paljastivat useita WhatsApp-haavoittuvuuksia Black Hat 2019 -konferenssin aikana.
- Haavoittuvuudet antavat huonojen toimijoiden manipuloida chatteja.
- Facebookilla ei ole korjausta haavoittuvuuksiin.
WhatsAppin viimeaikaiset tietoturvavirheet antavat huonojen toimijoiden huijata keskusteluja ja saada heidät näyttämään siltä, kuin ne ovat tulleet sinulta, raportoi Check Point Research eilen. Check Point Research ilmoitti havainnoistaan Black Hat 2019 -turvallisuuskonferenssissa.
Tutkijoiden mukaan haavoittuvuuksia voidaan hyödyntää kolmella tavalla:
- Käytä "keskustelu" -toimintoa ryhmäkeskusteluissa muuttaaksesi lähettäjän henkilöllisyyttä, vaikka kyseinen henkilö ei olisi ryhmän jäsen.
- Muuta jonkun toisen vastauksen teksti laittamalla sanat suuhun.
- Lähetä yksityinen toiselle ryhmän osallistujalle, joka on naamioitu kaikille julkiseksi, joten kun kohdettu henkilö vastaa, se näkyy kaikille keskustelussa.
Check Point ilmoitti WhatsAppille haavoittuvuuksista elokuussa 2018. WhatsApp vahvisti sitten kolmannen menetelmän. Tutkijoiden mielestä on kuitenkin edelleen mahdollista manipuloida noteerattuja sanoja ja huijata niitä. Check Point käytti Burp Suit -laajennustaan WhatsApp-palvelun katkaisemiseen ja salauksen purkamiseen. Hyödynnettävä elementti on tässä WhatsApp-verkkosivun versio, joka käyttää QR-koodeja pariksi puhelimeesi.
Check Point hankki ensin julkisen ja yksityisen avainparin, joka luotiin ennen kuin WhatsApp tuottaa QR-koodin. Burp Suit -laajennus yhdistää puhelimen WhatsApp-web-asiakasohjelmaan lähettämään "salaiseen" parametriin, kun skannaat QR-koodia. Burp Suit -laajennus on helppo seurata ja purkaa.
Facebookin tiedottaja antoi seuraavan lausunnon Seuraava verkko:
Tarkistimme tarkkaan tätä kysymystä vuosi sitten, ja on vääriä väittää, että WhatsApp-tietoturvassa on haavoittuvuus. Tässä kuvattu skenaario on pelkästään mobiili-vastaava tapa muuttaa vastauksia sähköpostin säieessä, jotta se näyttää siltä, että joku ihminen ei kirjoittanut. Meidän on pidettävä mielessä, että näiden tutkijoiden esittämien huolenaiheiden ratkaiseminen voi tehdä WhatsAppista vähemmän yksityisen - esimerkiksi tallentamalla tietoa alkuperästä.
Valitettavasti yrityksellä ei näytä olevan ratkaisua WhatApp-haavoittuvuuksiin. Koska viestintäpalvelu käyttää päästä päähän -salausta, Facebook ei voi käyttää s: n salattuja versioita. Tämä tarkoittaa, että Facebook ei voi puuttua, jos huonot toimijat hyödyntävät edellä mainittuja haavoittuvuuksia.