• Para penyelidik mendedahkan kelemahan beberapa WhatsApp semasa persidangan Black Hat 2019.
• Kerentanan membenarkan pelaku buruk untuk memanipulasi sembang.
• Facebook tidak mempunyai masalah untuk kelemahan.

Kecacatan keselamatan baru-baru ini oleh WhatsApp membolehkan pelaku buruk untuk merosakkan sembang dan membuatnya kelihatan seperti mereka berasal dari anda, melaporkan Penyelidikan Semak Point semalam. Check Point Research mengumumkan penemuannya semasa persidangan keselamatan Black Hat 2019.

Menurut para penyelidik, terdapat tiga cara mengeksploitasi kerentanan:

1. Gunakan ciri "petikan" dalam perbualan kumpulan untuk menukar identiti penghantar, walaupun orang itu bukan ahli kumpulan.
2. Ubah teks jawapan orang lain, pada dasarnya meletakkan kata-kata di mulut mereka.
3. Hantar orang perseorangan kepada peserta kumpulan lain yang menyamar sebagai orang awam untuk semua, jadi apabila individu yang disasarkan bertindak balas, ia dapat dilihat oleh semua orang dalam perbualan.

Semak Point kepada WhatsApp tentang kelemahan pada bulan Ogos 2018. WhatsApp kemudian menetapkan kaedah ketiga. Walau bagaimanapun, penyelidik mendapati ia masih boleh dimanipulasi dan dipecahkan oleh mereka. Check Point menggunakan Extension Suit Burp untuk memecahkan penyulitan end-to-end WhatsApp dan menyahsulit sembang. Unsur yang dapat dieksekusi di sini adalah versi web WhatsApp, yang menggunakan kod QR untuk dipasangkan ke telefon anda.

Check Point pertama kali memperoleh pasangan kunci awam dan swasta yang dibuat sebelum WhatsApp menghasilkan kod QR. Dikombinasikan dengan parameter "rahsia" yang dihantar oleh telefon anda kepada klien web WhatsApp apabila anda mengimbas kod QR, Extension Suit Burp memudahkan untuk memonitor dan menyahsulit.

Jurucakap Facebook memberikan kenyataan berikut Web Seterusnya:

Kami mengkaji dengan teliti isu ini setahun yang lalu dan ia adalah salah untuk mencadangkan bahawa terdapat kelemahan dengan keselamatan yang kami sediakan di WhatsApp. Senario yang diterangkan di sini hanyalah bersamaan bergerak untuk mengubah balasan dalam thread e-mel supaya kelihatan seperti sesuatu yang tidak ditulis oleh seseorang. Kita perlu berhati-hati bahawa menangani kebimbangan yang dikemukakan oleh penyelidik ini boleh menjadikan WhatsApp kurang peribadi - seperti menyimpan maklumat mengenai asal usul.

Malangnya, syarikat itu nampaknya tidak mempunyai resolusi untuk kerentanan WhatApp. Kerana perkhidmatan pesanan menggunakan penyulitan akhir-ke-akhir, Facebook tidak dapat mengakses versi yang di-decrypted s. Itu bermakna Facebook tidak boleh campur tangan jika pelakon jahat mengeksploitasi kelemahan yang disebutkan di atas.