Petr Škuta Vill Schwachstelle goufen op der lafender Black Hat Sécherheetskonferenz opgedeckt. Dorënner sinn Bugs an der WhatsApp Applikatioun déi Ugräifer erlaben den Inhalt vun de Messagen z'änneren.
Lächer am WhatsApp kënnen op dräi méiglech Manéier exploitéiert ginn. Déi interessantst ass wann Dir den Inhalt vun der Noriicht ännert déi Dir schéckt. Als Resultat gëtt den Text, deen Dir eigentlech net geschriwwen hutt, ugewisen.
Et kéint sinn interesséieren Iech
Et ginn zwou Méiglechkeeten:
- En Ugräifer kann d'"Äntwert" Feature an engem Gruppchat benotzen fir d'Identitéit vum Sender vum Message ze verwiesselen. Och wann déi betraffe Persoun guer net am Grupp Chat ass.
- Ausserdeem kann hien den zitéierten Text duerch all Inhalt ersetzen. Et kann also den originale Message komplett iwwerschreiwe.
Am éischte Fall ass et einfach den zitéierten Text z'änneren fir datt et ausgesäit wéi Dir et geschriwwen hutt. Am zweete Fall ännert Dir d'Identitéit vum Sender net, mee ännert einfach d'Feld mat der zitéierter Noriicht. Den Text ka komplett nei geschriwwe ginn an den neie Message gëtt vun all Chat-Participanten gesi ginn.
De folgende Video weist alles grafesch:
Check Point Experten hunn och e Wee fonnt fir ëffentlech a privat Messagen ze vermëschen. Wéi och ëmmer, Facebook huet et fäerdeg bruecht dëst am WhatsApp Update ze fixéieren. Ëmgekéiert goufen d'Attacke uewen beschriwwen net vun engem korrigéiert wahrscheinlech kann et net mol befestegt. Zur selwechter Zäit ass d'Vulnerabilitéit zënter Jore bekannt.
De Feeler ass schwéier ze fixéieren wéinst der Verschlësselung
De ganze Problem läit an der Verschlësselung. WhatsApp baséiert op Verschlësselung tëscht deenen zwee Benotzer. D'Schwachheet benotzt dann e Gruppchat, wou Dir schonn déi entschlësselte Messagen virun Iech gesitt. Awer Facebook kann dech net gesinn, also kann et am Fong net intervenéieren.
Experten hunn d'Webversioun vu WhatsApp benotzt fir den Attack ze simuléieren. Dëst erlaabt Iech e Computer (Webbrowser) mat engem QR Code ze koppelen deen Dir an Ärem Smartphone lued.
Wann de privaten an ëffentleche Schlëssel verbonne sinn, gëtt e QR Code mat engem "geheime" Parameter generéiert a vun der mobiler App an de WhatsApp Web Client geschéckt. Wärend de Benotzer den QR Code scannt, kann en Ugräifer de Moment erfaassen an d'Kommunikatioun ofbriechen.
Nodeems en Ugräifer Detailer iwwer eng Persoun huet, e Grupp Chat, dorënner eng eenzegaarteg ID, kann hien zum Beispill d'Identitéit vun de geschéckte Messagen änneren oder hiren Inhalt komplett änneren. Aner Chat-Participanten kënnen also einfach täuschen.
Et ass ganz wéineg Risiko involvéiert an normale Gespréicher tëscht zwou Parteien. Awer wat méi grouss d'Gespréich ass, dest méi schwéier ass et d'Noriichten ze navigéieren an dest méi einfach ass et fir eng falsch Nouvelle wéi déi richteg Saach ausgesinn. Also ass et gutt virsiichteg ze sinn.
Et kéint sinn interesséieren Iech
David Hanak Source: 9to5Mac
