- كشف الباحثون عن العديد من نقاط الضعف في WhatsApp خلال مؤتمر Black Hat 2019.
- تسمح نقاط الضعف للجهات الفاعلة السيئة بمعالجة الدردشة.
- ليس فيسبوك إصلاحًا للثغرات الأمنية.
عيوب الأمان الأخيرة في WhatsApp تتيح للممثلين السيئين محاكاة ساخرة للدردشة وجعلها تبدو وكأنها آتية منك ، وذلك وفقًا لما جاء في تقرير Check Point Research أمس. أعلنت شركة Check Point Research عن نتائجها خلال المؤتمر الأمني Black Hat 2019.
وفقًا للباحثين ، كانت هناك ثلاث طرق لاستغلال نقاط الضعف:
- استخدم ميزة "الاقتباس" في محادثة جماعية لتغيير هوية المرسل ، حتى لو لم يكن هذا الشخص عضوًا في المجموعة.
- تعديل نص رد شخص آخر ، ووضع الكلمات في الفم بشكل أساسي.
- إرسال رسالة خاصة إلى مشارك في مجموعة أخرى يتم تنكرها على أنها جمهور للجميع ، لذلك عندما يستجيب الفرد المستهدف ، يكون مرئيًا للجميع في المحادثة.
أبلغت Check Point WhatsApp عن مواطن الضعف في أغسطس 2018. ثم قامت WhatsApp بإصلاح الطريقة الثالثة. ومع ذلك ، وجد الباحثون أنه لا يزال من الممكن التلاعب بالاقتباس والخداع. استخدمت Check Point Burp Suit Extension الخاص بها لكسر تشفير WhatsApp الشامل وفك تشفير الدردشة. العنصر القابل للاستغلال هنا هو إصدار الويب من WhatsApp ، والذي يستخدم رموز QR للإقران بهاتفك.
حصلت Check Point أولاً على زوج المفاتيح العام والخاص الذي تم إنشاؤه قبل أن ينشئ WhatsApp رمز الاستجابة السريعة. بالإضافة إلى المعلمة "السرية" التي يرسلها هاتفك إلى عميل WhatsApp على الويب عندما تقوم بمسح رمز QR ، فإن امتداد البدلة Burp Suit Extension يجعل من السهل مراقبة وفك تشفير s.
قدم متحدث باسم Facebook البيان التالي إلى الويب التالي:
لقد قمنا بمراجعة هذه المشكلة بعناية قبل عام ، ومن الخطأ الإشارة إلى وجود ثغرة أمنية في الأمان الذي نقدمه على WhatsApp. السيناريو الموضح هنا هو مجرد مكافئ للهاتف المحمول لتغيير الردود في سلسلة رسائل البريد الإلكتروني لجعلها تبدو وكأنها شيء لم يكتبه شخص. يجب أن نضع في اعتبارنا أن معالجة المخاوف التي أثارها هؤلاء الباحثون قد تجعل WhatsApp أقل خصوصية - مثل تخزين المعلومات حول أصل s.
لسوء الحظ ، لا يبدو أن الشركة لديها دقة لثغرات WhatApp. نظرًا لأن خدمة المراسلة تستخدم تشفيرًا من طرف إلى طرف ، فلن يتمكن Facebook من الوصول إلى الإصدارات المشفرة من s. هذا يعني أن Facebook لا يمكن أن يتدخل إذا قام ممثلون سيئون باستغلال الثغرات المذكورة أعلاه.