- นักวิจัยค้นพบช่องโหว่ของ WhatsApp หลายแห่งระหว่างการประชุม Black Hat 2019
- ช่องโหว่ดังกล่าวช่วยให้นักแสดงที่ไม่ดีสามารถจัดการแชทได้
- Facebook ไม่มีการแก้ไขช่องโหว่
ข้อบกพร่องด้านความปลอดภัยล่าสุดของ WhatsApp ช่วยให้นักแสดงที่ไม่ดีสามารถปลอมแปลงการแชทและทำให้พวกเขาดูเหมือนพวกเขามาจากคุณรายงาน Check Point Research เมื่อวานนี้ จุดตรวจสอบการวิจัยประกาศผลการวิจัยในระหว่างการประชุมความปลอดภัย Black Hat 2019
ตามที่นักวิจัยมีสามวิธีในการใช้ประโยชน์จากช่องโหว่:
- ใช้คุณสมบัติ“ อัญประกาศ” ในการสนทนากลุ่มเพื่อเปลี่ยนข้อมูลประจำตัวของผู้ส่งแม้ว่าบุคคลนั้นจะไม่ได้เป็นสมาชิกของกลุ่ม
- เปลี่ยนข้อความของคำตอบของคนอื่นโดยการใส่คำเข้าไปในปากของพวกเขา
- ส่งส่วนตัวไปยังผู้เข้าร่วมกลุ่มอื่นที่ปลอมตัวเป็นสาธารณะสำหรับทุกคนดังนั้นเมื่อบุคคลเป้าหมายตอบสนองทุกคนในการสนทนาจะปรากฏให้เห็น
จุดตรวจแจ้ง WhatsApp ของช่องโหว่ในเดือนสิงหาคม 2018 WhatsApp แล้วแก้ไขวิธีที่สาม อย่างไรก็ตามนักวิจัยพบว่ายังคงมีความเป็นไปได้ที่จะจัดการ s ที่อ้างถึงและลวงตาพวกเขา Check Point ใช้ Burp Suit Extension เพื่อแยกการเข้ารหัสแบบ end-to-end ของ WhatsApp และถอดรหัสการแชท องค์ประกอบที่เป็นประโยชน์ที่นี่คือ WhatsApp เวอร์ชันบนเว็บซึ่งใช้รหัส QR เพื่อจับคู่กับโทรศัพท์ของคุณ
จุดตรวจสอบได้รับคู่คีย์สาธารณะและส่วนตัวที่สร้างขึ้นก่อนที่ WhatsApp จะสร้างรหัส QR เมื่อรวมกับพารามิเตอร์“ ความลับ” ที่โทรศัพท์ของคุณส่งไปยังเว็บไคลเอ็นต์ WhatsApp เมื่อคุณสแกนรหัส QR นั้น Burp Suit Extension ทำให้การตรวจสอบและถอดรหัสเป็นเรื่องง่าย
โฆษกของ Facebook ได้จัดทำคำแถลงดังต่อไปนี้ เว็บต่อไป:
เราได้ตรวจสอบปัญหานี้อย่างรอบคอบเมื่อปีที่แล้วและมันผิดที่จะแนะนำว่ามีช่องโหว่ด้านความปลอดภัยที่เราให้ไว้ใน WhatsApp สถานการณ์ที่อธิบายไว้ที่นี่เป็นเพียงการเทียบเท่าการเปลี่ยนการตอบกลับในเธรดอีเมลเพื่อให้ดูเหมือนกับสิ่งที่บุคคลไม่ได้เขียน เราต้องระวังว่าการพูดถึงข้อกังวลของนักวิจัยเหล่านี้อาจทำให้ WhatsApp ไม่เป็นส่วนตัวเช่นการจัดเก็บข้อมูลเกี่ยวกับต้นกำเนิดของ s
น่าเสียดายที่ บริษัท ดูเหมือนจะไม่ได้รับการแก้ไขช่องโหว่ WhatApp เนื่องจากบริการส่งข้อความใช้การเข้ารหัสแบบครบวงจร Facebook จึงไม่สามารถเข้าถึงเวอร์ชันถอดรหัสได้ นั่นหมายความว่า Facebook ไม่สามารถแทรกแซงได้หากผู้กระทำความผิดใช้ช่องโหว่ดังกล่าวข้างต้น
