Уязвимость позволяет манипулировать чатами WhatsApp

Аватара пользователя
Я на сайте
Автор темы
Раздал: 6.64 ТБ
Скачал: 597.93 ГБ
Ратио: 11.363
Сообщения: 248948
Зарегистрирован: 2 года 8 месяцев 24 дня

Олег Илюхин 08.08.2019

Эксперты киберзащитной компании Check Point Research предупредили о крупных уязвимостях в WhatsApp, которые позволяют злоумышленникам подделывать сообщения в мессенджере. По словам исследователей, эти бреши делают возможным "перехват и манипуляцию сообщениями, отправленными как в личные, так и групповые чаты, что дает хакеру возможность создавать и распространять дезинформацию, которая поступила от якобы надежного источника".

Подмену можно произвести тремя способами: воспользоваться функцией цитирования WhatsApp, сделав так, будто бы ответ был написан от лица другого человека, перефразировать текст либо обмануть собеседника, чтобы его сообщение попало в общедоступную группу, а не "личку". В Check Point сказали, что уведомили разработчиков об уязвимостях еще в августе прошлого года, но с того времени была исправлена только одна "дыра".

Как устроена манипуляция чатами, специалисты продемонстрировали на конференции Black Hat 2019, прошедшей 7 августа. Воспользовавшись веб-версией WhatsApp и расширением Burp Suit, эксперты Check Point смогли получить закрытый и открытый ключи шифрования, созданные до генерации QR-кода, что позволило им на лету перехватывать и видоизменять текст. Вот как это выглядит:
https://www.youtube.com/watch?v=Ybr7DdXkGLo
Однако в пресс-службе Facebook заявили, что не считают описанную Check Point схему уязвимостью. "Описанный здесь сценарий — это всего лишь мобильный эквивалент изменения ответов в ветках переписки по электронной почте, чтобы они казались тем, чего человек не писал", — сказали представители компании изданию The Next Web.

Использовать решение, которое могло бы помешать подмене текста (например, хранить данные о происхождении сообщений) нельзя, поскольку это сделает WhatsApp менее безопасным, добавили в Facebook.
Цитата

Вернуться в Интернет.

Кто сейчас на конференции

Сейчас эту тему просматривают: нет зарегистрированных пользователей и гости: 1