Kritická chyba zabezpečení WhatsApp umožňuje hackerům proniknout do skupinových chatů

1417
Martin Hines

Nejpopulárnější aplikace pro zasílání zpráv na světě může tvrdit, že je ultrabezpečnou pevností, ale možná bude potřeba přehodnotit po odhalení kritické bezpečnostní chyby WhatsApp.

Bezpečnostní vědci z Ruhr University Bochum v Německu objevili řadu bezpečnostních slabin v aplikacích šifrovaných zpráv, jako jsou WhatsApp, Signal a Threema. Tým odhalil svá zjištění na bezpečnostní konferenci Real World Crypto ve středu v Curychu tento týden. Zatímco všechny tři výše uvedené aplikace jsou ovlivněny jednou nebo druhou chybou zabezpečení, ta, která ovlivňuje WhatsApp, se jeví jako nejzávažnější.

Podle vědců vrozená chyba designu v chatovací aplikaci vlastněné Facebookem umožňuje komukoli, kdo má kontrolu nad servery WhatsApp, vkládat nové lidi do soukromých skupinových chatů bez nutnosti povolení správce, a to navzdory příslibům šifrování mezi koncovými body.

Zatímco každý člen skupiny bude i nadále dostávat oznámení o novém členovi, který se připojí ke skupině, tým Ruhr University říká, že inteligentní hacker ovládající servery WhatsApp může použít několik různých řešení, aby se vyhnuli nebo alespoň oddálil detekci.

Odpověď WhatsApp

Zatímco WhatsApp připustil zjištění výzkumníků, mluvčí společnosti v telefonickém rozhovoru se společností Wired, stále trval na tom, že každému stávajícímu členovi skupiny budou zasílána oznámení o každém stávajícím členovi. "Postavili jsme WhatsApp, takže skupinové zprávy nelze odesílat skrytému uživateli," uvedla zpráva mluvčího, který uvedl v e-mailu, o bezpečnostní chybě WhatsApp.

Mezitím hlavní bezpečnostní pracovník Facebooku Alex Stamos tato zjištění odmítl veřejným tweetem.

https://twitter.com/alexstamos/status/951169174688026625

Vysvětlení bezpečnostní chyby WhatsApp

Problémy vznikají kvůli tomu, do jaké míry by potenciální útočník mohl využít tuto bezpečnostní chybu WhatsApp. Mohli blokovat zprávy od správců nebo jiných členů, kteří se mohou pokoušet upozornit všechny na nové účastníky, ukládáním do mezipaměti zpráv a následným selektivním propouštěním. Prolomený server WhatsApp také umožní hackerovi rozhodnout, která zpráva bude komu zaslána, bez ohledu na zamýšlené příjemce.

Tento proces je ve skupinách s více správci o něco těžší, kde, aby vypadal jako legitimní účastník ve skupině, musí man-in-the-middle posílat každému správci různé zprávy, což vypadá, jako by ho pozval jiný. je do skupiny. Stejně alarmující je tvrzení, že i poté, co si ho všimnou jako nezvaného hosta, může hacker zabránit jejich vyloučení ze skupiny.


Zatím žádné komentáře