Պետր Շկուտա Բազմաթիվ խոցելիություններ բացահայտվեցին շարունակվող Black Hat անվտանգության համաժողովում: Դրանց թվում են WhatsApp հավելվածի սխալները, որոնք հարձակվողներին թույլ են տալիս փոխել հաղորդագրությունների բովանդակությունը։
WhatsApp-ի անցքերը կարելի է օգտագործել երեք հնարավոր եղանակներով. Ամենահետաքրքիրն այն է, երբ փոխում եք ուղարկվող հաղորդագրության բովանդակությունը: Արդյունքում կցուցադրվի այն տեքստը, որը դուք իրականում չեք գրել:
Դա կարող է լինել ձեզ հետաքրքրում է
Երկու տարբերակ կա.
- Հարձակվողը կարող է օգտագործել «պատասխան» հատկանիշը խմբային զրույցում՝ շփոթելու հաղորդագրություն ուղարկողի ինքնությունը: Նույնիսկ եթե տվյալ անձը ընդհանրապես խմբային չաթում չէ։
- Ավելին, նա կարող է մեջբերված տեքստը փոխարինել ցանկացած բովանդակությամբ։ Այսպիսով, այն կարող է ամբողջությամբ վերագրել բնօրինակ հաղորդագրությունը:
Առաջին դեպքում հեշտ է փոխել մեջբերված տեքստը, որպեսզի այն թվա, թե դու ես այն գրել։ Երկրորդ դեպքում դուք չեք փոխում ուղարկողի ինքնությունը, այլ պարզապես խմբագրում եք դաշտը մեջբերված հաղորդագրությամբ։ Տեքստը կարող է ամբողջությամբ վերաշարադրվել, և նոր հաղորդագրությունը կտեսնեն չաթի բոլոր մասնակիցները:
Հետևյալ տեսանյութում ամեն ինչ պատկերված է.
Check Point-ի փորձագետները գտել են նաև հանրային և անձնական հաղորդագրությունները խառնելու միջոց: Այնուամենայնիվ, Facebook-ին հաջողվել է շտկել դա WhatsApp-ի թարմացումով։ Ընդհակառակը, վերը նկարագրված հարձակումները չեն ուղղվել ա հավանաբար նույնիսկ չի կարող շտկել այն. Ընդ որում, խոցելիությունը հայտնի է տարիներ շարունակ։
Սխալը դժվար է շտկել գաղտնագրման պատճառով
Ամբողջ խնդիրը գաղտնագրման մեջ է: WhatsApp-ը հիմնված է երկու օգտատերերի միջև գաղտնագրման վրա: Այնուհետև խոցելիությունը օգտագործում է խմբային զրույց, որտեղ դուք արդեն կարող եք տեսնել ձեր առջև վերծանված հաղորդագրությունները: Բայց Facebook-ը չի կարող տեսնել ձեզ, ուստի հիմնականում չի կարող միջամտել:
Փորձագետներն օգտագործել են WhatsApp-ի վեբ տարբերակը հարձակումը նմանակելու համար։ Սա թույլ է տալիս զուգակցել համակարգիչը (վեբ բրաուզերը)՝ օգտագործելով QR կոդը, որը դուք բեռնում եք ձեր սմարթֆոնի մեջ:
Անձնական և հանրային բանալին միացնելուց հետո ստեղծվում է QR կոդ, որը ներառում է «գաղտնի» պարամետր և ուղարկվում է բջջային հավելվածից WhatsApp վեբ հաճախորդին: Մինչ օգտատերը սկանավորում է QR կոդը, հարձակվողը կարող է գրավել պահը և ընդհատել հաղորդակցությունը:
Այն բանից հետո, երբ հարձակվողը տվյալներ ունի անձի մասին, խմբային զրույց, ներառյալ եզակի ID, նա կարող է, օրինակ, փոխել ուղարկված հաղորդագրությունների ինքնությունը կամ ամբողջությամբ փոխել դրանց բովանդակությունը: Հետևաբար, զրույցի մյուս մասնակիցները կարող են հեշտությամբ խաբվել:
Երկու կողմերի միջև նորմալ խոսակցությունների մեջ շատ քիչ ռիսկ կա: Բայց որքան մեծ է խոսակցությունը, այնքան դժվար է նավարկելը նորությունների մեջ, և այնքան հեշտ է կեղծ լուրերի իրական տեսքը: Այնպես որ, լավ է զգույշ լինել:
Դա կարող է լինել ձեզ հետաքրքրում է
Դավիթ Հանակ Աղբյուրը ` 9to5Mac
