• Истраживачи су открили неколико рањивости ВхатсАпп-а током конференције Блацк Хат 2019.
• Рањивости омогућавају лошим глумцима да манипулишу цхат-ом.
• Фацебоок нема решење за рањивости.

Недавне грешке у заштити ВхатсАппа омогућавају лошим глумцима да преваре ћаскање и учине да изгледају као да су дошли од вас, известило је јуче Цхецк Поинт Ресеарцх. Цхецк Поинт Ресеарцх објавио је своја открића током безбедносне конференције Блацк Хат 2019.

Према истраживачима, постојала су три начина искориштавања рањивости:

1. Користите функцију „цитирање“ у групном разговору да бисте променили идентитет пошиљаоца, чак и ако та особа није члан групе.
2. Промените текст туђег одговора, у основи стављајући речи у уста.
3. Пошаљите приватно другом учеснику групе који је прерушен у јавност за све, па када циљани појединац одговори, то је видљиво свима у разговору.

Цхецк Поинт је обавестио ВхатсАпп о рањистима у августу 2018. ВхатсАпп је тада поправио трећу методу. Међутим, истраживачи су открили да је још увек могуће манипулирати цитираним и преварити их. Цхецк Поинт је искористио Бурп Суит Ектенсион да разбије цјеловито шифрирање ВхатсАпп-а и дешифрује цхат-ове. Елемент који се овдје може искористити је веб верзија ВхатсАпп-а која користи КР кодове за упаривање с вашим телефоном.

Цхецк Поинт је прво набавио пар јавних и приватних кључева креиран пре него што ВхатсАпп генерише КР код. У комбинацији са „тајним“ параметром који вам је телефон послао на ВхатсАпп веб клијент приликом скенирања КР кода, Бурп Суит Ектенсион олакшава надгледање и дешифровање исписа.

Портпарол Фејсбука дао је следећу изјаву Тхе Нект Веб:

Пажљиво смо прегледали овај проблем пре годину дана и погрешно је претпоставити да постоји рањивост у безбедности коју пружамо на ВхатсАпп-у. Овде је описан сценариј само мобилни еквивалент измене одговора у нити е-поште како би изгледало као да нешто особа није написала. Морамо имати на уму да би бављење тим истраживачима могло учинити ВхатсАпп мање приватним - попут складиштења података о пореклу с.

Нажалост, чини се да компанија нема резолуцију за ВхатАпп рањивости. Будући да услуга за размену порука користи енкрипцију од краја до краја, Фацебоок не може да приступи дешифрованим верзијама с-а. То значи да Фацебоок не може интервенирати ако лоши актери искористе горе наведене рањивости.