WhatsApp bug tillader infiltration af private gruppechats uden admin tilladelser

En fejl i WhatsApp betyder, at det er muligt at snige sig ind i private chats uden administratortilladelser, på trods af det Facebook-ejede selskabs bedste indsats med kryptering.

Undersøgelser udført af et tysk kryptografiteam viste, at en fejl i, hvordan appen interagerer med WhatsApps spærre, kontrolleret af Facebook, giver alle med adgang til disse servere mulighed for nemt at indsætte nye mennesker i en privat gruppe snak.

Så på trods af WhatsApps implementering af end-to-end-kryptering i dens meddelelser, er der potentiale for, at gruppechat infiltreres og snoopes.

”Gruppens fortrolighed brydes, så snart det ubudne medlem kan få alt det nye meddelelser og læse dem, ”forklarede Paul Rösler, en af ​​forskerne fra Ruhr University, der var medforfatter -en papir som detaljerede sårbarheden.

”Hvis jeg hører, at der er en-til-ende-kryptering for begge grupper og to-parts kommunikation, betyder det, at tilføjelse af nye medlemmer skal beskyttes mod. Og hvis ikke, er værdien af ​​kryptering meget lille, ”tilføjede han.

Imidlertid bagatelliserede Facebooks Chief Security Officer Alex Stamos sikkerhedsrisiciene på Twitter og bemærkede, at der "ikke er en hemmelig vej" ind i WhatsApp gruppechats.

Han forklarede, at WhatsApp giver en underretning, hver gang en ny bruger går ind i en gruppechat, så selvom en uønsket gæst vises i en privat chat, de legitime medlemmer vil vide om det, og administratorer kan sparke dem ud. Og da kun nye meddelelser kan ses af et nyt medlem, mindskes risikoen for privatlivets fred noget.

Alt i alt forhindrer de klare meddelelser og flere måder at kontrollere, hvem der er i din gruppe, lydløs aflytning. Indholdet af meddelelser, der sendes i WhatsApp-grupper, forbliver beskyttet af ende-til-ende-kryptering.

- Alex Stamos (@alexstamos) 10. januar 2018

Der er dog potentiale for sofistikerede hackere til at bruge teknikker til selektivt at blokere nye gruppemeddelelser, som en gang den nye medlem tilføjes krypteringsnøglerne deles mellem telefoner ved hjælp af WhatsApp, hvilket vil hjælpe interlopere med at undgå øjeblikkelig opdagelse.

For at hackere skal udnytte den fejl, skal de først knække ind i WhatsApp-serverne, hvilket ville kræve høje niveauer af hacking-færdigheder for endda at prøve. Dette mindsker yderligere den risiko, bugten udgør.

Men for regeringer og hackergrupper, der har ressourcerne til at udføre sådanne hackangreb, kan bugten være et lokkende mål, især til udførelse af spionage og statsstøttet snooping.

Samlet set ser bugen ikke ud til at udgøre for stor risiko for den gennemsnitlige WhatsApp-bruger.

Selvfølgelig undskylder dette ikke tilstedeværelsen af ​​et sikkerhedshul. WhatsApp har bemærket, at hvis det straks skulle rette fejlen, kan det medføre problemer med at tillade legitime nye medlemmer at deltage i gruppen, selvom brugen af ​​en delt URL. Så dette vil antyde, at det vil vare et stykke tid, før fejlen presses.

Relaterede: CES 2018 højdepunkter

Stoler du på WhatsApp for at holde din besked privat, eller er du signalbruger? Fortæl os det på Facebook eller Twitter.