Kvôli bezpečnostným dieram vo WhatsApp môžu útočníci meniť obsah zasielaných správ

9. 8. 2019

Na práve prebiehajúcej bezpečnostnej konferencii Black Hat bolo odhalených mnoho zraniteľností. Medzi ne sa zaraďujú aj chyby v aplikácii WhatsApp, ktoré dovoľujú útočníkom meniť obsah správ.

Diery vo WhatsApp je možné zneužiť hneď tromi možnými spôsobmi. Najzaujímavejší je potom ten, kedy zameníte obsah odosielanej správy. Vo výsledku sa potom zobrazí text, ktorý ste vlastne vôbec nenapísali.

Existujú dve možnosti:

Útočník môže využiť funkciu „odpovedať“ v skupinovom chate, aby zamenil totožnosť odosielateľa správy. A to aj v prípade, keď sa dotyčná osoba vôbec nenachádza v skupinovom chate.
Ďalej môže zameniť citovaný text ľubovoľným obsahom. Pôvodnú správu tak môže úplne prepísať.

V prvom prípade je možné ľahko zameniť citovaný text tak, aby vyzeral, že ste ho napísali vy. V druhom prípade nezameníte totožnosť odosielateľa, ale jednoducho upravíte pole s citovanou správou. Text je možné kompletne prepísať a novú správu uvidia všetci účastníci chatu.

Názorne všetko ukazuje nasledujúce video:

Odborníci z Check Point našli aj cestu, ako miešať verejné a súkromné správy. Tú už však Facebook stihol v aktualizácii WhatsApp opraviť. Naopak vyššie popísané útoky z neopravil a pravdepodobne ani opraviť nemôže. O zraniteľnosti sa pritom vie už celé roky.

Chyba je ťažko opraviteľná kvôli šifrovaniu

Celý problém spočíva v šifrovaní. WhatsApp spolieha na šifrovanie medzi oboma užívateľmi. Zraniteľnosť potom využíva skupinový chat, kde už pred sebou vidíte dešifrované správy. Lenže tie Facebook nevidia, a tak v podstate ani nemôže zasiahnuť.

Odborníci na simuláciu útoku použili webovú verziu WhatsApp. Tá umožňuje napárovať počítač (webový prehliadač) pomocou QR kódu, ktorý načítate do svojho smartphone.

Akonáhle sa prepojí súkromný a verejný kľúč, je vygenerovaný QR kód vrátane „tajného“ parametra, ktorý je zaslaný z mobilnej aplikácie do webového klienta WhatsApp. Zatiaľ čo používateľ skenuje QR kód, útočník môže využiť okamih a zachytiť komunikáciu.

Potom čo má útočník k dispozícii detaily o osobe, skupinovom chate vrátane unikátneho ID, môže napríklad zameniť identitu pri odosielaných správach alebo kompletne zmeniť ich obsah. Ostatní účastníci chatu tak môžu byť ľahko oklamaní.

Pri bežných konverzáciách medzi dvoma stranami hrozí iba veľmi malé riziko. Ale čím väčšia konverzácia je, tým horšie sa v správach orientuje a tým ľahšie vyzerá podvrhnutá správa ako skutočná. Je dobré sa teda mať na pozore.

Mohlo by vás zaujímať

iPad

WhatsApp mení stratégiu a chystá samostatné aplikácie pre iPad, Mac aj PC

David Hanák

Zdroj: 9to5Mac

Témy: WhatsApp, smartphone, facebook, 9to5mac, videa, počítač, funkcie, používateľ, Aplikácia

Diskusia k článku

Vaše meno

Váš komentár

Vyplnením vyššie uvedených údajov beriem na vedomie, že spoločnosť TEXT FACTORY sro, sídlom Brno, Durďákova 336/29, Čierna Pole, PSČ: 613 00, IČO: 06157831, zapísané na Krajskom súde v Brne, oddiel C, vložka 100399 osobné údaje uvedené v rámci mnou vyplneného registračného formulára na základe oprávnených záujmov TEXT FACTORY sro podľa čl. 6 ods. 1 písm. f) GDPR a na splnenie právnych povinností (článok 6 ods. 1 písm. c) GDPR), a to na tieto účely: nevyhnutnosť zabezpečiť oprávnenie návštevníka webových stránok prevádzkovaných spoločnosťou TEXT FACTORY sro prispievať aktívne k zverejneným článkom alebo v rámci diskusných fór a výkon práv TEXT FACTORY sro ako administrátora týchto diskusných fór. Viac informácií o spracovaní osobných údajov a právach možno nájsť v Poučenie o ochrane osobných údajov. celý text

Mohlo by vás zaujímať

Chyba je ťažko opraviteľná kvôli šifrovaniu

Mohlo by vás zaujímať

Súvisiaci