• Forskere avdekket flere WhatsApp-sårbarheter under Black Hat 2019-konferansen.
• Sårbarhetene lar dårlige skuespillere manipulere chat.
• Facebook har ikke en løsning for sårbarhetene.

WhatsApps nylige sikkerhetsfeil gjør det mulig for dårlige skuespillere å forfalske chat og få dem til å se ut som om de kom fra deg, rapporterte Check Point Research i går. Check Point Research kunngjorde funnene sine under sikkerhetskonferansen Black Hat 2019.

I følge forskerne var det tre måter å utnytte sårbarhetene på:

1. Bruk "sitat" -funksjonen i en gruppesamtale for å endre identiteten til avsenderen, selv om vedkommende ikke er medlem av gruppen.
2. Endre teksten til andres svar, og legg ord i munnen.
3. Send en privatperson til en annen gruppedeltaker som er forkledd som en offentlighet for alle, så når den målrettede personen svarer, er den synlig for alle i samtalen.

Check Point informerte WhatsApp om sårbarhetene i august 2018. WhatsApp fikset deretter den tredje metoden. Imidlertid fant forskere at det fortsatt er mulig å manipulere siterte s og forfalske dem. Check Point brukte Burp Suit-utvidelsen for å ødelegge WhatsApps ende-til-ende-kryptering og dekryptere chat. Det utnyttbare elementet her er nettversjonen av WhatsApp, som bruker QR-koder for å koble sammen med telefonen din.

Check Point fikk først det offentlige og private nøkkelpar opprettet før WhatsApp genererer en QR-kode. Kombinert med den "hemmelige" parameteren som er sendt av telefonen din til WhatsApp-webklienten når du skanner QR-koden, gjør Burp Suit Extension det enkelt å overvåke og dekryptere s.

En talsperson for Facebook ga følgende uttalelse til Neste nett:

Vi har nøye gjennomgått dette problemet for et år siden, og det er usant å antyde at det er en sårbarhet med sikkerheten vi leverer på WhatsApp. Scenariet som er beskrevet her er bare det mobile ekvivalentet med å endre svar i en e-posttråd for å få det til å se ut som noe en person ikke skrev. Vi må være oppmerksom på at å takle bekymringer reist av disse forskerne kan gjøre WhatsApp mindre privat - for eksempel å lagre informasjon om opprinnelsen til s.

Dessverre ser det ikke ut til at selskapet ikke har en løsning for WhatApp-sårbarhetene. Siden meldingstjenesten bruker kryptering fra ende til ende, har ikke Facebook tilgang til dekrypterte versjoner av s. Det betyr at Facebook ikke kan gripe inn hvis dårlige aktører utnytter de nevnte sårbarhetene.