V uplynulých dnech proběhl v Las Vegas 22. ročník konference Black Hat USA 2019, zaměřené na bezpečnost v informačních technologiích. V jejím rámci byla odborníky z Check Point Research prezentována chyba v komunikační aplikaci WhatsApp, která dovoluje útočníkům manipulovat se zprávami.
Experti Dikla Barda, Roman Zaikin a Oded Vanunu tvrdí, že našli tři různé způsoby, jak lze bezpečnostní nedostatek zneužít. Jednou z možností je využití funkce citace (quote) ve skupinové konverzaci, kde je možné změnit totožnost odesílatele zprávy. Za odesílatele lze přitom vydávat i osobu, která není členem skupiny.
Děravý komunikátor
Další způsob vede přes odpovídání s citací původního příspěvku. Tímto způsobem lze v podstatě vložit komukoli „do úst“ něco, co ve skutečnosti vůbec nenapsal. Původní příspěvek se tím sice nezmění, avšak použitou citaci lze libovolně upravovat.
Kromě toho našli odborníci z Check Pointu způsob, jak oklamat uživatele mícháním veřejných a soukromých zpráv. Tuto chybu dokázal Facebook opravit, ale poněkud znepokojivé je jeho tvrzení, že není možné opravit další dvě bezpečnostní chyby.
Problém spočívá v tom, že WhatsApp používá šifrování typu end-to-end. Objevené chyby zabezpečení závisí na skutečnosti, že účastník má ve skupině (pochopitelně) přístup k dešifrované verzi zpráv. Facebook však údajně právě proto není schopen zasáhnout proti tomuto typu útoku.
Jak probíhá útok?
Experti využili webovou verzi WhatsApp, která uživatelům umožňuje spárovat svůj telefon pomocí QR kódu. Získali páry soukromých a veřejných klíčů vytvořených před generováním QR kódu a „tajný“ parametr, který je odeslán mobilním telefonem na web WhatsApp během skenování. To jim umožnilo sledovat a dešifrovat probíhající komunikaci.
Následně zachytávali síťový provoz, obsahující údaje o účastnících, obsah konverzace a jedinečné identifikátory. Bezpečnostní nedostatky jim umožnily manipulovat s odpověďmi na zprávy, měnit obsah zpráv a dokonce „manipulovat s chatem odesláním zprávy zpět původnímu odesílateli jménem jiné osoby, jako by pocházela od ní.“
Riziko praktického zneužití je v reálném životě poměrně nízké. Využití najde jen ve skupinových chatech s mnoha účastníky, kde by tento přístup mohl být použit k šíření dezinformací nebo vyvolání chaosu. Další informace k publikovanému objevu můžete najít na blogu Check Point Research.
