- חוקרים חשפו כמה פגיעויות WhatsApp במהלך ועידת Black Hat 2019.
- הפגיעויות מאפשרות לשחקנים רעים לתפעל צ'אטים.
- לפייסבוק אין תיקון לפגיעויות.
פגמי האבטחה האחרונים של WhatsApp מאפשרים לשחקנים רעים לזייף צ'אטים ולגרום להם להיראות כאילו הם הגיעו ממך, כך דיווחו אתמול מחקר צ'ק פוינט. מחקר צ'ק פוינט הודיע על ממצאיו במהלך ועידת האבטחה של Black Hat 2019.
לדברי החוקרים, היו שלוש דרכים לניצול הפגיעויות:
- השתמש בתכונה "ציטוט" בשיחה קבוצתית כדי לשנות את זהות השולח, גם אם אותו אדם אינו חבר בקבוצה.
- שנה את הטקסט של תשובתו של מישהו אחר, בעצם הכניס מילים לפיהם.
- שלח פרטי למשתתף בקבוצה אחרת שמוסווה כציבור לכולם, כך שכאשר האדם הממוקד מגיב, הוא גלוי לכולם בשיחה.
צ'ק פוינט הודיעה ל- WhatsApp על הפגיעויות באוגוסט 2018. WhatsApp תיקן אז את השיטה השלישית. עם זאת, החוקרים מצאו שעדיין ניתן לתמרן את הציטוטים ולערות אותם. צ'ק פוינט השתמשה בתוסף Burp Suit שלה כדי לשבור את ההצפנה מקצה לקצה של WhatsApp ולפענח צ'אטים. האלמנט הניתן לניצול כאן הוא גרסת האינטרנט של WhatsApp, המשתמשת בקודי QR כדי להתאים לטלפון שלך.
צ'ק פוינט השיגה לראשונה את צמד המפתחות הציבורי והפרטי שנוצר לפני ש- WhatsApp מייצר קוד QR. בשילוב עם הפרמטר "הסודי" שנשלח על ידי הטלפון שלך ללקוח האינטרנט של WhatsApp כשאתה סורק את קוד ה- QR, סיומת Burp Suit מקלה על מעקב ופענוח של נתונים.
דובר פייסבוק מסר את ההצהרה הבאה האינטרנט הבא:
בדקנו את הנושא בזהירות לפני כשנה ושקר להציע שיש פגיעות באבטחה שאנו מספקים ב- WhatsApp. התרחיש המתואר כאן הוא בסך הכל המקבילה הניידת לשינוי תשובות בשרשור הדוא"ל כדי שייראה כמו משהו שאדם לא כתב. עלינו לזכור כי התייחסות לחששות שהועלו על ידי חוקרים אלו עלולה להפוך את WhatsApp פחות לפרטית - כמו למשל אחסון מידע על מקורם של s.
למרבה הצער, נראה כי לחברה אין רזולוציה לגבי פגיעויות ה- WhatApp. מכיוון ששירות ההודעות משתמש בהצפנה מקצה לקצה, פייסבוק אינה יכולה לגשת לגרסאות מפוענחות של s. המשמעות היא שפייסבוק לא יכולה להתערב אם שחקנים רעים מנצלים את הפגיעויות האמורות.
