Zaradi varnostnih lukenj v aplikaciji WhatsApp lahko napadalci spremenijo vsebino poslanih sporočil

9. 8. 2019

Številne ranljivosti so bile razkrite na trenutni varnostni konferenci Black Hat. Med njimi so hrošči v aplikaciji WhatsApp, ki napadalcem omogočajo spreminjanje vsebine sporočil.

Luknje v WhatsAppu je mogoče izkoristiti na tri možne načine. Najbolj zanimivo je, ko spremenite vsebino sporočila, ki ga pošiljate. Posledično bo prikazano besedilo, ki ga dejansko niste napisali.

Obstajata dve možnosti:

Napadalec lahko uporabi funkcijo "odgovori" v skupinskem klepetu, da zamenja identiteto pošiljatelja sporočila. Tudi če zadevne osebe sploh ni v skupinskem klepetu.
Poleg tega lahko citirano besedilo nadomesti s poljubno vsebino. Tako lahko popolnoma prepiše prvotno sporočilo.

V prvem primeru je citirano besedilo enostavno spremeniti, da bo videti, kot da ste ga napisali vi. V drugem primeru ne spreminjate identitete pošiljatelja, ampak preprosto uredite polje s citiranim sporočilom. Besedilo je mogoče v celoti prepisati in novo sporočilo bodo videli vsi udeleženci klepeta.

Naslednji video prikazuje vse grafično:

Strokovnjaki družbe Check Point so našli tudi način za mešanje javnih in zasebnih sporočil. Vendar je Facebook uspel to popraviti v posodobitvi WhatsApp. Nasprotno pa zgoraj opisanih napadov ni popravil a verjetno se ne da niti popraviti. Hkrati pa je ranljivost znana že leta.

Napako je težko odpraviti zaradi šifriranja

Celoten problem je v šifriranju. WhatsApp se zanaša na šifriranje med uporabnikoma. Ranljivost nato uporabi skupinski klepet, kjer lahko že vidite dešifrirana sporočila pred seboj. Toda Facebook vas ne vidi, tako da v bistvu ne more posredovati.

Strokovnjaki so za simulacijo napada uporabili spletno različico WhatsAppa. To vam omogoča seznanitev računalnika (spletni brskalnik) s pomočjo kode QR, ki jo naložite v pametni telefon.

WhatsApp trpi zaradi varnostnih pomanjkljivosti

Ko sta zasebni in javni ključ povezana, se koda QR, vključno s parametrom "skrivnost", ustvari in pošlje iz mobilne aplikacije spletnemu odjemalcu WhatsApp. Medtem ko uporabnik skenira kodo QR, lahko napadalec izkoristi trenutek in prestreže komunikacijo.

Ko ima napadalec podrobnosti o osebi, skupinskem klepetu, vključno z edinstvenim ID-jem, lahko na primer spremeni identiteto poslanih sporočil ali popolnoma spremeni njihovo vsebino. Druge udeležence klepeta lahko tako zlahka prevarate.

Pri običajnih pogovorih med dvema stranema je tveganje zelo malo. Toda večji ko je pogovor, težje je krmariti po novicah in lažja novica je lažja videti kot prava. Zato je dobro biti previden.

Lahko bi bilo te zanima

iPad

WhatsApp spreminja strategijo in pripravlja ločene aplikacije za iPad, Mac in PC

David Hanak

Vir: 9to5Mac

Teme: WhatsApp, pametni telefon, Facebook , 9to5mac, video, računalnik, funkcijo, uporabnik, aplikace

Razprava o članku

Vase jméno

Vaš komentar

Z izpolnitvijo zgornjih podatkov potrjujem, da je podjetje TEXT FACTORY s.r.o., sedež v Brnu, Durďákova 336/29, Černá Pole, poštna številka: 613 00, ID številka: 06157831, registrirano pri deželnem sodišču v Brnu, oddelek C. , vložek 100399, bo moje osebne podatke, navedene v registracijskem obrazcu, ki sem ga izpolnil, obdeloval na podlagi zakonitih interesov TEXT FACTORY s.r.o. v skladu s črko 6. odst. f) GDPR in za izpolnjevanje zakonskih obveznosti (člen 1, odstavek 6, točka c) GDPR), za naslednje namene: potreba po zagotavljanju avtorizacije obiskovalcev spletnih mest, ki jih upravlja TEXT FACTORY s.r.o., da aktivno prispevajo k objavljenim člankom ali v razpravah. forumov in uveljavljanje pravic TEXT FACTORY s.r.o. kot skrbnika teh forumov. Več informacij o obdelavi osebnih podatkov in pravicah najdete v Lekcije o varstvu osebnih podatkov. celotno besedilo

Lahko bi bilo te zanima

Napako je težko odpraviti zaradi šifriranja

Lahko bi bilo te zanima

Povezano