彼得·什庫塔 正在進行的黑帽安全會議上揭露了許多漏洞。其中包括 WhatsApp 應用程式中的錯誤,這些錯誤允許攻擊者更改訊息內容。
WhatsApp 中的漏洞可以透過三種可能的方式被利用。最有趣的是當您更改正在發送的訊息的內容時。結果,將顯示您實際未編寫的文字。
它可能是 你有興趣
有兩種選擇:
- 攻擊者可以利用群組聊天中的「回覆」功能來迷惑訊息傳送者的身分。即使相關人員根本不在群組聊天中。
- 此外,他可以用任何內容替換引用的文字。因此它可以完全覆蓋原始訊息。
在第一種情況下,很容易更改引用的文本,使其看起來像是您編寫的。在第二種情況下,您不會更改寄件者的身份,而只需編輯帶有引用訊息的欄位。文字可以完全重寫,所有聊天參與者都可以看到新訊息。
以下影片以圖形方式顯示了所有內容:
Check Point 專家也找到了混合公共和私人訊息的方法。不過,Facebook 設法在 WhatsApp 更新中解決了這個問題。相反,上述攻擊並未通過 可能甚至無法修復它。同時,該漏洞多年來一直為人所知。
由於加密,該錯誤很難修復
整個問題在於加密。 WhatsApp 依賴兩個用戶之間的加密。然後,該漏洞使用群聊,您可以在群組聊天中看到解密的訊息。但Facebook看不到你,所以基本上它無法介入。
專家使用 WhatsApp 的網頁版來模擬攻擊。這允許您使用載入到智慧型手機中的二維碼來配對電腦(網頁瀏覽器)。
一旦私鑰和公鑰連結起來,就會產生一個包含「秘密」參數的二維碼,並將其從行動應用程式發送到 WhatsApp 網路用戶端。當使用者掃描二維碼時,攻擊者可以抓住時機並攔截通訊。
例如,攻擊者掌握有關人員、群組聊天的詳細資訊(包括唯一 ID)後,他可以更改所發送訊息的身份或完全更改其內容。因此,其他聊天參與者很容易被欺騙。
兩方之間的正常對話幾乎不存在任何風險。但話題越大,瀏覽新聞就越困難,假新聞就越容易看起來像真的。所以小心點是好事。
它可能是 你有興趣
大衛哈納克 來源: 9to5Mac
