WhatsAppi viga võimaldab privaatsete grupivestluste sissetungimist ilma administraatori õigusteta
Viga rakenduses WhatsApp tähendab, et hoolimata Facebooki omanduses oleva ettevõtte parimatest krüpteerimispüüdlustest on võimalik privaatsesse vestlusesse pääseda ilma administraatori lubadeta.
Saksa krüptograafiameeskonna poolt läbi viidud uurimistööst selgus, et viga selles, kuidas rakendus suhtleb WhatsAppi seeriatega, mida Facebook kontrollib, võimaldab kõigil, kellel on juurdepääs nendele serveritele, hõlpsasti uusi inimesi privaatsesse gruppi lisada vestlus.
Nii et vaatamata sellele, et WhatsApp rakendas sõnumites end-to-end krüpteerimist, on grupivestluse sissetungimise ja nuhkimise võimalus.
"Grupi konfidentsiaalsus on katki kohe, kui kutsumata liige saab kogu uue sõnumeid ja lugege neid, ”selgitas üks kaasautoreid olnud Ruhri ülikooli teadlasi Paul Rösler a paber mis täpsustas haavatavust.
"Kui kuulen, et nii gruppide kui ka kahe osapoole suhtlus on täielikult krüpteeritud, peaks see uute liikmete lisamist kaitsma. Ja kui ei, siis on krüpteerimise väärtus väga väike, ”lisas ta.
Kuid Facebooki turvaülem Alex Stamos vähendas Twitteri turvariske, märkides, et "pole salajast viisi" WhatsApp grupivestlused.
Ta selgitas, et WhatsApp annab teate iga kord, kui uus kasutaja siseneb grupivestlusesse, isegi kui soovimatu külaline ilmub privaatsesse vestlusesse, mida seaduslikud liikmed teavad sellest ja administraatorid saavad neid lüüa välja. Kuna uus liige saab vaadata ainult uusi sõnumeid, on privaatsusrisk mõnevõrra maandatud.
Kokkuvõttes takistavad selged märguanded ja mitu võimalust kontrollida, kes teie grupis on, pealtkuulamist. WhatsAppi rühmadesse saadetud sõnumite sisu jääb otsast-lõpuni krüptimisega kaitstud.
- Alex Stamos (@alexstamos) 10. jaanuar 2018
Kogenud häkkerid võivad siiski kasutada uusi grupisõnumeid valikuliselt blokeerivaid tehnikaid liige on lisatud, et krüptovõtmeid jagatakse WhatsAppi kasutavate telefonide vahel, mis aitaks interlopteerijatel kohest vältida märkamine.
Selleks, et häkkerid saaksid vea ära kasutada, peavad nad kõigepealt sisse logima WhatsAppi serveritesse, mis nõuaks isegi kõrge häkkimisoskuse taset. See leevendab veaga kaasnevat riski veelgi.
Kuid valitsustele ja häkkerirühmadele, kellel on ressursse selliste häkkerünnakute läbiviimiseks, võib viga olla ahvatlev sihtmärk, eriti spionaaži ja riiklikult toetatava nuhkimise läbiviimisel.
Üldiselt näib, et viga ei kujuta WhatsAppi keskmisele kasutajale liiga suurt riski.
Muidugi ei vabanda see turvaava olemasolu. WhatsApp on märkinud, et kui see peaks vea kohe kõrvaldama, võib see põhjustada probleeme seaduslikel uutel liikmetel grupiga liitumise võimaldamisel ühise URL-i kasutamise kaudu. Nii et see vihjab, et see saab olema millalgi enne vea kokkuklapitamist.
Seotud: CES 2018 tipphetked
Kas usaldate WhatsAppi oma sõnumside privaatsena hoidmisel või olete Signali kasutaja? Andke meile sellest teada Facebookis või Twitteris.