WhatsApp bug tillater infiltrasjon av private gruppechatter uten administratortillatelser

En feil i WhatsApp betyr at det er mulig å snike seg inn i private chatter uten administratortillatelser, til tross for det Facebook-eide selskapets beste innsats med kryptering.

Forskning utført av et tysk kryptografiteam fant at en feil i hvordan appen samhandler med WhatsApps skjærere, kontrollert av Facebook, gir alle som har tilgang til disse serverne, enkelt å sette inn nye mennesker i en privat gruppe chatte.

Så til tross for WhatsApps implementering av end-to-end-kryptering i meldinger, er det potensial for gruppechat å bli infiltrert og snoket på.

”Konfidensialiteten til gruppen brytes så snart det ubudne medlemmet kan få tak i alt det nye meldinger og lese dem, ”forklarte Paul Rösler, en av forskerne fra Ruhr University som var medforfatter en papir som detaljerte sårbarheten.

"Hvis jeg hører at det er end-to-end-kryptering for begge grupper og topartskommunikasjon, betyr det at det skal beskyttes å legge til nye medlemmer. Og hvis ikke, er verdien av kryptering veldig liten, ”la han til.

Imidlertid bagatelliserte Facebooks sikkerhetssjef Alex Stamos sikkerhetsrisikoen på Twitter og bemerket at det "ikke er en hemmelig vei" inn i Hva skjer gruppechatter.

Han forklarte at WhatsApp gir et varsel hver gang en ny bruker går inn i en gruppechat, så selv om en uønsket gjest vises i en privat chat, vil de legitime medlemmene vite om det, og administratorer kan sparke dem ute. Og ettersom bare nye meldinger kan vises av et nytt medlem, reduseres risikoen for personvern noe.

I sum forhindrer tydelige varsler og flere måter å kontrollere hvem som er i gruppen din lydløs avlytting. Innholdet i meldinger sendt i WhatsApp-grupper forblir beskyttet av end-to-end-kryptering.

- Alex Stamos (@alexstamos) 10. januar 2018

Imidlertid er det potensial for sofistikerte hackere å bruke teknikker for å selektivt blokkere nye gruppemeldinger, som en gang de nye medlem er lagt til krypteringsnøklene deles mellom telefoner ved hjelp av WhatsApp, noe som vil hjelpe interlopers å unngå øyeblikkelig gjenkjenning.

For at hackere skal utnytte feilen, trenger de først å knekke inn i WhatsApp-serverne, noe som vil kreve høye nivåer av hackingferdigheter for å til og med prøve. Dette reduserer ytterligere risikoen feilen utgjør.

Men for regjeringer og hackergrupper med ressurser til å gjennomføre slike hackangrep, kan feilen være et fristende mål, spesielt for å utføre spionasje og statsstøttet snusing.

Samlet sett ser det ikke ut til at feilen utgjør en for stor risiko for den gjennomsnittlige WhatsApp-brukeren.

Dette unnskylder selvfølgelig ikke tilstedeværelsen av et sikkerhetshull. WhatsApp har bemerket at hvis det umiddelbart løste feilen, kan det føre til problemer med å tillate legitime nye medlemmer å delta i gruppen, selv om bruken av en delt URL. Så dette antyder at det vil ta en stund før feilen knuses.

I slekt: CES 2018 høydepunkter

Stoler du på WhatsApp for å holde meldingene dine private, eller er du signalbruker? Gi oss beskjed på Facebook eller Twitter.