Chyba WhatsApp umožňuje infiltraci soukromých skupinových chatů bez oprávnění správce
Chyba v WhatsApp znamená, že je možné vplížit se do soukromých chatů bez jakéhokoli oprávnění správce, a to navzdory nejlepším snahám společnosti ve vlastnictví Facebooku o šifrování.
Výzkum provedený německým kryptografickým týmem zjistil, že chyba v interakci aplikace s odběrateli WhatsApp, řízen Facebookem, umožňuje komukoli s přístupem na tyto servery snadno vkládat nové lidi do soukromé skupiny povídat si.
Navzdory implementaci end-to-end šifrování WhatsApp do jeho zpráv existuje potenciál pro infiltraci a snooping skupinového chatu.
"Důvěrnost skupiny je narušena, jakmile nezvaný člen získá všechny nové." zprávy a číst je, “vysvětlil Paul Rösler, jeden z vědců z Ruhr University, který je spoluautorem A papír který podrobně popisuje zranitelnost.
"Pokud uslyším, že existuje end-to-end šifrování pro obě skupiny a komunikaci dvou stran, znamená to, že proti nim by mělo být chráněno přidávání nových členů." A pokud ne, hodnota šifrování je velmi malá, “dodal.
Alex Stamos, hlavní bezpečnostní pracovník Facebooku, však bagatelizoval bezpečnostní rizika na Twitteru a poznamenal, že „není tajná cesta“ do WhatsApp skupinové chaty.
Vysvětlil, že WhatsApp poskytuje oznámení pokaždé, když nový uživatel vstoupí do skupinového chatu, takže i když nežádoucí host se objeví v soukromém chatu, legitimní členové o něm budou vědět a administrátoři je mohou nakopat ven. A protože nový člen může zobrazit pouze nové zprávy, riziko pro ochranu soukromí je poněkud zmírněno.
Stručně řečeno, jasná oznámení a více způsobů kontroly, kdo je ve vaší skupině, brání tichému odposlechu. Obsah zpráv odeslaných ve skupinách WhatsApp zůstává chráněn end-to-end šifrováním.
- Alex Stamos (@alexstamos) 10. ledna 2018
Existují však možnosti, aby sofistikovaní hackeři používali techniky selektivního blokování nových skupinových zpráv, jako kdysi nových člen je přidán šifrovací klíče jsou sdíleny mezi telefony pomocí WhatsApp, což by pomohlo vetřelcům vyhnout se okamžitému detekce.
Aby hackeři mohli využít tuto chybu, museli by nejprve narazit na servery WhatsApp, což by vyžadovalo vysokou úroveň hackerských dovedností, aby se o to vůbec pokusili. To dále zmírňuje riziko, které chyba představuje.
Ale pro vlády a hackerské skupiny se zdroji k provádění takových hackerských útoků může být chyba lákavým cílem, zejména pro provádění špionáže a státem sponzorovaného snoopingu.
Celkově se nezdá, že by chyba představovala pro průměrného uživatele WhatsApp příliš velké riziko.
To samozřejmě neomlouvá přítomnost bezpečnostní díry. WhatsApp poznamenal, že pokud by to mělo okamžitě opravit chybu, mohlo by to způsobit problémy s povolením legitimních nových členů připojit se ke skupině přes použití sdílené adresy URL. To by tedy naznačovalo, že to bude někdy předtím, než bude chyba zmáčknuta.
Příbuzný: Hlavní body veletrhu CES 2018
Důvěřujete WhatsApp, že vaše zprávy budou soukromé, nebo jste uživatelem Signálu? Dejte nám vědět na Facebooku nebo Twitteru.