პეტრ შკუტა მრავალი დაუცველობა გამოვლინდა შავი ქუდის უსაფრთხოების კონფერენციაზე. მათ შორის არის შეცდომები WhatsApp აპლიკაციაში, რომლებიც თავდამსხმელებს საშუალებას აძლევს შეცვალონ შეტყობინებების შინაარსი.
WhatsApp-ის ხვრელების გამოყენება შესაძლებელია სამი შესაძლო გზით. ყველაზე საინტერესო ის არის, როცა ცვლი გზავნილის შინაარსს. შედეგად, გამოჩნდება ტექსტი, რომელიც რეალურად არ დაგიწერიათ.
Ეს შეიძლება იყოს დაგაინტერესოთ
არსებობს ორი ვარიანტი:
- თავდამსხმელს შეუძლია გამოიყენოს „პასუხის“ ფუნქცია ჯგუფურ ჩატში შეტყობინების გამგზავნის ვინაობის დასაბნევად. მაშინაც კი, თუ პირი საერთოდ არ არის ჯგუფურ ჩატში.
- გარდა ამისა, მას შეუძლია ციტირებული ტექსტის შეცვლა ნებისმიერი შინაარსით. ამრიგად, მას შეუძლია მთლიანად გადაწეროს ორიგინალური შეტყობინება.
პირველ შემთხვევაში, ადვილია ციტირებული ტექსტის შეცვლა ისე, როგორც თქვენ დაწერეთ. მეორე შემთხვევაში, თქვენ არ ცვლით გამგზავნის ვინაობას, არამედ უბრალოდ არედაქტირებთ ველს ციტირებული გზავნილით. ტექსტი შეიძლება მთლიანად გადაიწეროს და ახალ შეტყობინებას ჩეთის ყველა მონაწილე იხილავს.
შემდეგ ვიდეოში ყველაფერი გრაფიკულად ჩანს:
Check Point-ის ექსპერტებმა ასევე იპოვეს საჯარო და პირადი შეტყობინებების შერევის გზა. თუმცა, Facebook-მა ამის გამოსწორება WhatsApp-ის განახლებაში მოახერხა. პირიქით, ზემოთ აღწერილი თავდასხმები არ იყო გამოსწორებული ა ალბათ ვერც კი გამოსწორდება. ამავდროულად, დაუცველობა ცნობილია წლების განმავლობაში.
შეცდომის გამოსწორება რთულია დაშიფვრის გამო
მთელი პრობლემა დაშიფვრაშია. WhatsApp ეყრდნობა დაშიფვრას ორ მომხმარებელს შორის. შემდეგ დაუცველობა იყენებს ჯგუფურ ჩატს, სადაც უკვე შეგიძლიათ იხილოთ გაშიფრული შეტყობინებები თქვენს თვალწინ. მაგრამ ფეისბუქი ვერ გხედავს, ამიტომ, ძირითადად, ვერ ჩაერევა.
ექსპერტებმა შეტევის სიმულაციისთვის WhatsApp-ის ვებ ვერსია გამოიყენეს. ეს საშუალებას გაძლევთ დააწყვილოთ კომპიუტერი (ვებ ბრაუზერი) QR კოდის გამოყენებით, რომელიც ჩატვირთავთ თქვენს სმარტფონში.
პირადი და საჯარო გასაღების დაკავშირების შემდეგ, QR კოდი, რომელიც შეიცავს "საიდუმლო" პარამეტრს, გენერირდება და იგზავნება მობილური აპლიკაციიდან WhatsApp ვებ კლიენტზე. სანამ მომხმარებელი სკანირებს QR კოდს, თავდამსხმელს შეუძლია აითვისოს მომენტი და ხელი შეუშალოს კომუნიკაციას.
მას შემდეგ, რაც თავდამსხმელს ექნება პიროვნების შესახებ დეტალები, ჯგუფური ჩატი, მათ შორის უნიკალური ID, მას შეუძლია, მაგალითად, შეცვალოს გაგზავნილი შეტყობინებების იდენტურობა ან მთლიანად შეცვალოს მათი შინაარსი. ამგვარად, ჩეთის სხვა მონაწილეებს ადვილად შეუძლიათ მოტყუება.
ძალიან მცირე რისკია ორ მხარეს შორის ნორმალურ საუბრებში. მაგრამ რაც უფრო დიდია საუბარი, მით უფრო ძნელია ახალი ამბების ნავიგაცია და მით უფრო ადვილია ყალბი ამბების მსგავსება. ამიტომ კარგია სიფრთხილე.
Ეს შეიძლება იყოს დაგაინტერესოთ
დევიდ ჰანაკი წყარო: 9to5Mac
