В WhatsApp найдена уязвимость, которая позволяет исправлять уже отправленные сообщения, имена отправителей или подменять личные сообщения, выдавая их за публичные.
Как это работает
С помощью уязвимости мессенджера можно изменять содержание уже отправленных или полученных сообщений. Об этом сообщили эксперты по безопасности компании CheckPoint.
Благодаря набору определенных действий отправленные и полученные сообщения в групповом чате можно модифицировать. Причем цитировать сообщения можно так, что создается впечатление, словно они отправлены от стороннего пользователя, не входящего в группу. Также можно отправлять приватные сообщения, их сможет увидеть только один человек в группе. Однако ответы пользователя окажутся видны всем.
Уязвимость в WhatsApp
Эксперты CheckPoint обнаружили три разных способа взлома WhatsApp с помощью уязвимости. Однако все они подразумевают применение социальной инженерии. В CheckPoint считают, что злоумышленник может использовать функцию цитирования в групповом чате, чтобы изменить личность отправителя. Причем это возможно, даже если сам отправитель не входит в состав группы. Злоумышленник даже может заменить часть текста в чужом сообщении или вовсе изменить его по своему усмотрению.
Интересная особенность, что любой пользователь может отправить участнику другой группы приватное сообщение. И оно будет выглядеть как сообщение для всех. При этом, по факту, ответ будет виден всем участникам группы.
Эксперты CheckPoint произвели обратную разработку алгоритма сквозного шифрования, используемого WhatsApp. Благодаря чему смогли получить доступ к числовым значениям (параметрам), которыми обмениваются клиенты WhatsApр и которые можно видоизменять.
Чтобы это сделать, пользователю необходимо обладать и приватным, и публичным ключом для сессии. Таким образом, манипуляции может производить только участник группового чата. Сделать это извне невозможно.
Короли сплетен
Эксперты отмечают, что в последнее время WhatsApp стал великолепным инструментом для распространения дезинформации, лжи, сплетен и мошенничества. Так, например, в Индии, подобные заведомо ложные сообщения привели к массовому насилию.
WhatsApp обладает пользовательской базой в 1,5 млрд человек. А также 1 млрд групп и 65 млрд сообщений, которые ежедневно отправляют пользователи мессенджера.
«Любую ложь проще распространить, чем опровергнуть, — отмечает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — На сегодняшний день пользователи Сети не слишком склонны перепроверять сведения, которые они получают. В особенности когда эти сведения им так или иначе импонируют. Мегапопулярный мессенджер, допускающий такие манипуляции с отправленными сообщениями… Это, действительно, почти идеальная платформа для распространения fake news. Остается надеяться, что разработчики ВотсАпп смогут исправить проблему в ближайшее время».
Фото: Facebook.