Chyba v aplikaci WhatsApp umožňuje útočníkům manipulovat se zprávami. Oprava není a nebude

V uplynulých dnech proběhl v Las Vegas 22. ročník konference Black Hat USA 2019, zaměřené na bezpečnost v informačních technologiích. V jejím rámci byla odborníky z Check Point Research prezentována chyba v komunikační aplikaci WhatsApp, která dovoluje útočníkům manipulovat se zprávami.

Experti Dikla Barda, Roman Zaikin a Oded Vanunu tvrdí, že našli tři různé způsoby, jak lze bezpečnostní nedostatek zneužít. Jednou z možností je využití funkce citace (quote) ve skupinové konverzaci, kde je možné změnit totožnost odesílatele zprávy. Za odesílatele lze přitom vydávat i osobu, která není členem skupiny.

Děravý komunikátor

Další způsob vede přes odpovídání s citací původního příspěvku. Tímto způsobem lze v podstatě vložit komukoli „do úst“ něco, co ve skutečnosti vůbec nenapsal. Původní příspěvek se tím sice nezmění, avšak použitou citaci lze libovolně upravovat.

Kromě toho našli odborníci z Check Pointu způsob, jak oklamat uživatele mícháním veřejných a soukromých zpráv. Tuto chybu dokázal Facebook opravit, ale poněkud znepokojivé je jeho tvrzení, že není možné opravit další dvě bezpečnostní chyby.

Problém spočívá v tom, že WhatsApp používá šifrování typu end-to-end. Objevené chyby zabezpečení závisí na skutečnosti, že účastník má ve skupině (pochopitelně) přístup k dešifrované verzi zpráv. Facebook však údajně právě proto není schopen zasáhnout proti tomuto typu útoku.

Jak probíhá útok?

Experti využili webovou verzi WhatsApp, která uživatelům umožňuje spárovat svůj telefon pomocí QR kódu. Získali páry soukromých a veřejných klíčů vytvořených před generováním QR kódu a „tajný“ parametr, který je odeslán mobilním telefonem na web WhatsApp během skenování. To jim umožnilo sledovat a dešifrovat probíhající komunikaci.

Následně zachytávali síťový provoz, obsahující údaje o účastnících, obsah konverzace a jedinečné identifikátory. Bezpečnostní nedostatky jim umožnily manipulovat s odpověďmi na zprávy, měnit obsah zpráv a dokonce „manipulovat s chatem odesláním zprávy zpět původnímu odesílateli jménem jiné osoby, jako by pocházela od ní.“

Riziko praktického zneužití je v reálném životě poměrně nízké. Využití najde jen ve skupinových chatech s mnoha účastníky, kde by tento přístup mohl být použit k šíření dezinformací nebo vyvolání chaosu. Další informace k publikovanému objevu můžete najít na blogu Check Point Research.

Diskuze (1) Další článek: Nové iPhony vám vynadají při neautorizované výměně baterie

Témata článku: Facebook, Bezpečnost, Komunikace, Chat, WhatsApp, Instant Messaging, Šifrování, Check Point, BARD, Check point Research, Las Vegas, Black Hat USA, Odesílatel, Aplikace, Konverzace, Chyba, APL, Bezpečnostní nedostatek, Citace, Odeslání zprávy, Whats


Určitě si přečtěte

Microsoft pořád myslí i na odpůrce předplatného. Letos vydá Office 2021
Lukáš Václavík
Microsoft OfficeMicrosoft
Finanční správa tento měsíc spustí Moje Daně. Přiznání má být hračka
Lukáš Václavík
eIdentitaČeskoeGovernment
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián | 22

Karel Kilián
TipyVyhledávačeGoogle
26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

** Prohlížeč Chrome obsahuje širokou škálu funkcí, neumí ale všechno ** Jeho schopnosti můžete rozšířit pomocí rozšíření ** Vybrali jsme pro vás zajímavé a užitečné doplňky

Karel Kilián | 47

Karel Kilián
Doplňky do prohlížečeChromeProhlížeče
Volitelná aktualizace Windows 10 opravila několik chyb, způsobila ale další problémy
Karel Kilián
Windows UpdateAktualizaceWindows 10
Technici nestíhají. Cetin dočasně přerušil zavádění VDSL bondingu
Lukáš Václavík
CETINPřipojení k internetu
Čím nahradit WhatsApp: Vyberte si z 10 alternativních komunikátorů

Čím nahradit WhatsApp: Vyberte si z 10 alternativních komunikátorů

** Z WhatsAppu kvůli novým podmínkám utíkají tisíce uživatelů ** Čím nahradit populární aplikaci pro zasílání zpráv? ** Vybrali jsme pro vás 10 alternativních komunikátorů

Karel Kilián | 112

Karel Kilián
KomunikaceWhatsAppInstant Messaging
Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

** Notebooky s cenou do deseti tisíc korun jsou plné kompromisů ** Existuje několik modelů dobře použitelných pro nenáročné použití ** Vhodnou alternativou jsou tablety nebo repasované počítače

David Polesný | 94

David Polesný
Jak vybrat notebookNotebooky