Akòz twou sekirite nan WhatsApp, atakè yo ka chanje kontni mesaj yo voye

9. 8. 2019

Anpil vilnerabilite yo te revele nan konferans sekirite Black Hat k ap kontinye. Pami yo gen pinèz nan aplikasyon WhatsApp ki pèmèt atakè yo chanje kontni mesaj yo.

Twou nan WhatsApp ka eksplwate nan twa fason posib. Pi enteresan an se lè w chanje kontni mesaj w ap voye a. Kòm yon rezilta, tèks la ke ou pa t 'aktyèlman ekri yo pral parèt.

Gen de opsyon:

Yon atakè ka itilize karakteristik "reponn" nan yon gwoup chat pou konfonn idantite moun k ap voye mesaj la. Menmsi moun nan kesyon an pa nan chat gwoup la ditou.
Anplis de sa, li ka ranplase tèks la site ak nenpòt kontni. Li ka konsa konplètman recouvrir mesaj orijinal la.

Nan premye ka a, li fasil pou chanje tèks ki site la pou fè l parèt tankou w te ekri l. Nan dezyèm ka a, ou pa chanje idantite moun k ap voye a, men tou senpleman modifye jaden an ak mesaj la site. Tèks la ka konplètman reekri epi tout patisipan chat yo pral wè nouvo mesaj la.

Videyo sa a montre tout bagay grafikman:

Ekspè Check Point yo te jwenn tou yon fason pou melanje mesaj piblik ak prive. Sepandan, Facebook jere ranje sa a nan aktyalizasyon WhatsApp la. Kontrèman, atak ki dekri pi wo a pa te korije pa yon pwobableman pa menm ka ranje li. An menm tan an, vilnerabilite a te konnen pou ane.

Erè a difisil pou ranje akòz chifreman an

Tout pwoblèm nan se nan chifreman. WhatsApp depann sou chifreman ant de itilizatè yo. Lè sa a, vilnerabilite a sèvi ak yon chat gwoup, kote ou ka deja wè mesaj dechifre yo devan ou. Men, Facebook pa ka wè ou, kidonk fondamantalman li pa ka entèvni.

Ekspè yo te itilize vèsyon entènèt WhatsApp pou simulation atak la. Sa a pèmèt ou marye yon òdinatè (navigatè entènèt) lè l sèvi avèk yon kòd QR ke ou chaje nan smartphone ou.

Yon fwa yo konekte kle prive a ak kle piblik la, yon kòd QR ki gen ladan yon paramèt "sekrè" yo pwodwi epi yo voye soti nan aplikasyon mobil lan nan kliyan an entènèt WhatsApp. Pandan ke itilizatè a ap eskane kòd QR la, yon atakè ka sezi moman sa a epi entèsepte kominikasyon an.

Apre yon atakè gen detay sou yon moun, yon chat gwoup, ki gen ladan yon ID inik, li ka, pou egzanp, chanje idantite mesaj yo voye oswa konplètman chanje kontni yo. Lòt patisipan chat yo ka fasil twonpe tèt yo.

Gen anpil ti risk ki enplike nan konvèsasyon nòmal ant de pati yo. Men, pi gwo konvèsasyon an, se pi difisil pou navige ak nouvèl la ak pi fasil pou yon fo nouvèl sanble ak bagay ki reyèl. Se konsa, li bon pou fè atansyon.

Li ta ka enterese w

iPad

WhatsApp ap chanje estrateji li yo ak prepare aplikasyon separe pou iPad, Mac ak PC

David Hanak

Sous: 9to5Mac

Sijè: WhatsApp, smartphone, Facebook, 9to5mac, videyo, òdinatè, fonksyon, itilizatè, Aplikasyon

Diskisyon sou atik la

Non ou

Kòmantè w la

Lè w ranpli done ki anwo yo, mwen rekonèt ke konpayi an TEXT FACTORY s.r.o., biwo ki anrejistre nan Brno, Durďákova 336/29, Černá Pole, Kòd postal: 613 00, nimewo ID: 06157831, ki anrejistre nan Tribinal Rejyonal C nan Brno, seksyon. , insert 100399, pral trete done pèsonèl mwen yo bay nan fòm enskripsyon mwen ranpli sou baz enterè lejitim TEXT FACTORY s.r.o. dapre Atik 6 paragraf 1 lèt. f) GDPR ak satisfè obligasyon legal (Atik 6, paragraf 1, lèt c) GDPR), pou rezon sa yo: nesesite pou asire otorizasyon vizitè yo sou sit entènèt ki opere pa TEXT FACTORY s.r.o. pou kontribiye aktivman nan atik pibliye oswa nan diskisyon. fowòm ak egzèse dwa TEXT FACTORY s.r.o. kòm administratè fowòm diskisyon sa yo. Ou ka jwenn plis enfòmasyon sou tretman done pèsonèl ak dwa yo nan Leson sou pwoteksyon done pèsonèl. tèks la tout antye

Li ta ka enterese w

Erè a difisil pou ranje akòz chifreman an

Li ta ka enterese w

Ki gen rapò