Bezpečnost | WhatsApp | Komunikace

Chyba v aplikaci WhatsApp umožňuje útočníkům manipulovat se zprávami. Oprava není a nebude

V uplynulých dnech proběhl v Las Vegas 22. ročník konference Black Hat USA 2019, zaměřené na bezpečnost v informačních technologiích. V jejím rámci byla odborníky z Check Point Research prezentována chyba v komunikační aplikaci WhatsApp, která dovoluje útočníkům manipulovat se zprávami.

Experti Dikla Barda, Roman Zaikin a Oded Vanunu tvrdí, že našli tři různé způsoby, jak lze bezpečnostní nedostatek zneužít. Jednou z možností je využití funkce citace (quote) ve skupinové konverzaci, kde je možné změnit totožnost odesílatele zprávy. Za odesílatele lze přitom vydávat i osobu, která není členem skupiny.

Děravý komunikátor

Další způsob vede přes odpovídání s citací původního příspěvku. Tímto způsobem lze v podstatě vložit komukoli „do úst“ něco, co ve skutečnosti vůbec nenapsal. Původní příspěvek se tím sice nezmění, avšak použitou citaci lze libovolně upravovat.

Kromě toho našli odborníci z Check Pointu způsob, jak oklamat uživatele mícháním veřejných a soukromých zpráv. Tuto chybu dokázal Facebook opravit, ale poněkud znepokojivé je jeho tvrzení, že není možné opravit další dvě bezpečnostní chyby.

Problém spočívá v tom, že WhatsApp používá šifrování typu end-to-end. Objevené chyby zabezpečení závisí na skutečnosti, že účastník má ve skupině (pochopitelně) přístup k dešifrované verzi zpráv. Facebook však údajně právě proto není schopen zasáhnout proti tomuto typu útoku.

Jak probíhá útok?

Experti využili webovou verzi WhatsApp, která uživatelům umožňuje spárovat svůj telefon pomocí QR kódu. Získali páry soukromých a veřejných klíčů vytvořených před generováním QR kódu a „tajný“ parametr, který je odeslán mobilním telefonem na web WhatsApp během skenování. To jim umožnilo sledovat a dešifrovat probíhající komunikaci.

Následně zachytávali síťový provoz, obsahující údaje o účastnících, obsah konverzace a jedinečné identifikátory. Bezpečnostní nedostatky jim umožnily manipulovat s odpověďmi na zprávy, měnit obsah zpráv a dokonce „manipulovat s chatem odesláním zprávy zpět původnímu odesílateli jménem jiné osoby, jako by pocházela od ní.“

Riziko praktického zneužití je v reálném životě poměrně nízké. Využití najde jen ve skupinových chatech s mnoha účastníky, kde by tento přístup mohl být použit k šíření dezinformací nebo vyvolání chaosu. Další informace k publikovanému objevu můžete najít na blogu Check Point Research.

Diskuze (1) Další článek: Nové iPhony vám vynadají při neautorizované výměně baterie

Témata článku: Bezpečnost, Facebook, WhatsApp, Chat, Instant Messaging, Komunikace, Šifrování, Bezpečnostní nedostatek, Check point Research, Las Vegas, Whats, Check Point, Chyba, Odesílatel, Black Hat USA, Citace, Konverzace, Aplikace


Určitě si přečtěte

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 7

Srovnali jsme česká města s IBM, Googlem nebo třeba Samsungem. Podívejte se, v jaké firmě „žijete“

Srovnali jsme česká města s IBM, Googlem nebo třeba Samsungem. Podívejte se, v jaké firmě „žijete“

** Nadnárodní korporace zaměstnávají stovky tisíc lidí ** Mají tedy velikost metropolí ** Srovnali jsme je s českými krajskými městy

Jakub Čížek | 15

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

** Speedtest stále častěji měří jen rychlost na poslední míli ** Ta však ale neodpovídá reálnému surfování ** Jak se tedy pokusit změřit tu skutečnou?

Jakub Čížek | 85

Chrome se naučí dokonale odkazovat. Jeho odpůrci bijí na poplach, prý je to bezpečnostní katastrofa

Chrome se naučí dokonale odkazovat. Jeho odpůrci bijí na poplach, prý je to bezpečnostní katastrofa

** Google zavádí techniku ScrollToTextFragment ** Umí vytvořit odkaz na konkrétní slovo na stránce ** Podle kritiků by to mohl být bezpečnostní problém

Jakub Čížek | 41

Proč teď nedává smysl kupovat notebook a kdy přijde ten správný čas

Proč teď nedává smysl kupovat notebook a kdy přijde ten správný čas

** Během pár týdnů přijdou na trh výkonnější notebooky ** Čím dražší notebook vybíráte, tím víc se vám změní nabídka ** Také lehké notebooky budou téměř herní

Tomáš Holčík | 52



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor