• Onderzoekers hebben verschillende WhatsApp-kwetsbaarheden ontdekt tijdens de Black Hat 2019-conferentie.
• Door de kwetsbaarheden kunnen slechte actoren chat s manipuleren.
• Facebook heeft geen oplossing voor de kwetsbaarheden.

WhatsApp's recente beveiligingsfouten stellen slechte acteurs in staat om chat s te vervalsen en ze eruit te laten zien alsof ze van jou afkomstig zijn, meldde Check Point Research gisteren. Check Point Research heeft zijn bevindingen bekendgemaakt tijdens de Black Hat 2019-beveiligingsconferentie.

Volgens de onderzoekers waren er drie manieren om de kwetsbaarheden te exploiteren:

1. Gebruik de "quote" -functie in een groepsgesprek om de identiteit van de afzender te wijzigen, zelfs als die persoon geen lid is van de groep.
2. Wijzig de tekst van het antwoord van iemand anders en leg in wezen woorden in hun mond.
3. Stuur een privé-persoon naar een andere groepsdeelnemer die voor iedereen is vermomd, dus wanneer de beoogde persoon reageert, is deze zichtbaar voor iedereen in het gesprek.

Check Point informeerde WhatsApp over de kwetsbaarheden in augustus 2018. WhatsApp heeft vervolgens de derde methode opgelost. Onderzoekers ontdekten echter dat het nog steeds mogelijk is om geciteerde s te manipuleren en te vervalsen. Check Point gebruikte de Burp Suit Extension om de end-to-end encryptie van WhatsApp te verbreken en chat s te decoderen. Het exploiteerbare element hier is de webversie van WhatsApp, die QR-codes gebruikt om aan uw telefoon te koppelen.

Check Point heeft eerst het openbare en private sleutelpaar verkregen dat is gemaakt voordat WhatsApp een QR-code genereert. Gecombineerd met de parameter 'geheim' die door uw telefoon naar de WhatsApp-webclient wordt verzonden wanneer u de QR-code scant, maakt de Burp Suit Extension het gemakkelijk om deze te controleren en te decoderen.

Een Facebook-woordvoerder heeft de volgende verklaring afgelegd Het volgende web:

We hebben dit probleem een ​​jaar geleden zorgvuldig bekeken en het is onjuist om te suggereren dat er een beveiligingslek is met de beveiliging die we bieden op WhatsApp. Het hier beschreven scenario is slechts het mobiele equivalent van het wijzigen van antwoorden in een e-mailthread zodat het lijkt op iets dat een persoon niet heeft geschreven. We moeten bedenken dat het aanpakken van zorgen die door deze onderzoekers naar voren zijn gebracht WhatsApp minder privé kan maken - zoals het opslaan van informatie over de oorsprong van s.

Helaas lijkt het bedrijf geen oplossing te hebben voor de WhatApp-kwetsbaarheden. Omdat de berichtenservice end-to-end-codering gebruikt, heeft Facebook geen toegang tot gedecodeerde versies van s. Dat betekent dat Facebook niet kan ingrijpen als slechte actoren de bovengenoemde kwetsbaarheden misbruiken.