Bezpečnost | WhatsApp | Komunikace

Chyba v aplikaci WhatsApp umožňuje útočníkům manipulovat se zprávami. Oprava není a nebude

V uplynulých dnech proběhl v Las Vegas 22. ročník konference Black Hat USA 2019, zaměřené na bezpečnost v informačních technologiích. V jejím rámci byla odborníky z Check Point Research prezentována chyba v komunikační aplikaci WhatsApp, která dovoluje útočníkům manipulovat se zprávami.

Experti Dikla Barda, Roman Zaikin a Oded Vanunu tvrdí, že našli tři různé způsoby, jak lze bezpečnostní nedostatek zneužít. Jednou z možností je využití funkce citace (quote) ve skupinové konverzaci, kde je možné změnit totožnost odesílatele zprávy. Za odesílatele lze přitom vydávat i osobu, která není členem skupiny.

Děravý komunikátor

Další způsob vede přes odpovídání s citací původního příspěvku. Tímto způsobem lze v podstatě vložit komukoli „do úst“ něco, co ve skutečnosti vůbec nenapsal. Původní příspěvek se tím sice nezmění, avšak použitou citaci lze libovolně upravovat.

Kromě toho našli odborníci z Check Pointu způsob, jak oklamat uživatele mícháním veřejných a soukromých zpráv. Tuto chybu dokázal Facebook opravit, ale poněkud znepokojivé je jeho tvrzení, že není možné opravit další dvě bezpečnostní chyby.

Problém spočívá v tom, že WhatsApp používá šifrování typu end-to-end. Objevené chyby zabezpečení závisí na skutečnosti, že účastník má ve skupině (pochopitelně) přístup k dešifrované verzi zpráv. Facebook však údajně právě proto není schopen zasáhnout proti tomuto typu útoku.

Jak probíhá útok?

Experti využili webovou verzi WhatsApp, která uživatelům umožňuje spárovat svůj telefon pomocí QR kódu. Získali páry soukromých a veřejných klíčů vytvořených před generováním QR kódu a „tajný“ parametr, který je odeslán mobilním telefonem na web WhatsApp během skenování. To jim umožnilo sledovat a dešifrovat probíhající komunikaci.

Následně zachytávali síťový provoz, obsahující údaje o účastnících, obsah konverzace a jedinečné identifikátory. Bezpečnostní nedostatky jim umožnily manipulovat s odpověďmi na zprávy, měnit obsah zpráv a dokonce „manipulovat s chatem odesláním zprávy zpět původnímu odesílateli jménem jiné osoby, jako by pocházela od ní.“

Riziko praktického zneužití je v reálném životě poměrně nízké. Využití najde jen ve skupinových chatech s mnoha účastníky, kde by tento přístup mohl být použit k šíření dezinformací nebo vyvolání chaosu. Další informace k publikovanému objevu můžete najít na blogu Check Point Research.

Diskuze (1) Další článek: Nové iPhony vám vynadají při neautorizované výměně baterie

Témata článku: Bezpečnost, Facebook, WhatsApp, Instant Messaging, Chat, Komunikace, Šifrování, Aplikace, Las Vegas, Konverzace, Citace, Check Point, Chyba, Bezpečnostní nedostatek, Odesílatel


Určitě si přečtěte

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 6

Co zabírá nejvíce místa na disku? Těchto 10 nástrojů odhalí největší žrouty dat

Co zabírá nejvíce místa na disku? Těchto 10 nástrojů odhalí největší žrouty dat

** Je vhodné jednou za čas zanalyzovat, co vám leží na disku ** Poradíme vám nástroje, kterými zjistíte, jaká data uchováváte ** Podle výsledků můžete optimalizovat svá data či úložiště

Karel Kilián | 50

Pojďme programovat elektroniku: Postavíme bezpečnostní systém za 30 Kč

Pojďme programovat elektroniku: Postavíme bezpečnostní systém za 30 Kč

** Před pár týdny jste si mohli v akci koupit Wi-Fi desku za jeden dolar ** Nám už TTGO T-Display dorazila do redakce ** Připojíme k ní jazýčkový kontakt a vyrobíme bezpečnostní systém

Jakub Čížek | 27

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

** Odborníci přišli na to, jak obejít limit bezkontaktních plateb ** Stačí zařízení, ovlivňující komunikaci mezi kartou a terminálem ** Stahují se nad bezkontaktními platbami mračna?

Karel Kilián | 79

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Dnes proběhla další velká prezentační akce Applu, na které došlo k odhalení nových iPhonů a dalších novinek. Událost jsme sledovali online, a tak se můžete podívat na chronologický zápis těch nejdůležitějších informací.

David Polesný | 138

Windows 10 po čtyřech letech: Jsou populární, ale stále je to šílený kočkopes

Windows 10 po čtyřech letech: Jsou populární, ale stále je to šílený kočkopes

** Windows 10 tu jsou už čtyři roky, první verze dorazila 29. 7. 2015 ** Desítky měly nahradit neúspěšnou řadu Windows 8.x ** I po letech však systém budí emoce a zůstává kočkopsem

Jakub Čížek | 110



Aktuální číslo časopisu Computer

Megatest 18 grafických karet

Ukliďte data v počítači

Jak dobře koupit starší telefon

Vylepšete zvuk televize: test 7 soundbarů