Эксперты израильской компании Check Point Software Technologies Ltd нашли новую уязвимость WhatsApp, позволяющую менять содержимое чужих сообщений.
Есть три способа обмана собеседников. Первый предполагает использование функции Цитата в групповых чатах, чтобы изменить имя отправителя. Второй позволяет злоумышленнику изменить текст ответа. Третий маскирует отправку сообщения в общем чате под видом личного.
Пруф:
Все методы используют «инъекцию» стороннего кода в процессе шифрования сообщений.
Мы использовали веб-версию WhatsApp, которая позволяет пользователям связывать свои смартфоны QR-кодом.
Получив пару закрытых и открытых ключей, созданных до генерации QR-кода, и «секретный» параметр, который отправляется мобильным устройство в WhatsApp Web, пока пользователь сканирует QR-код, расширение позволяет легко отслеживать и дешифровать сообщения.
Как только захватывается веб-трафик, содержащий сведения об участнике, фактический разговор и уникальный идентификатор, это позволяет нам подделывать ответы на сообщения, изменять их содержимое и даже манипулировать чатом.
В компании утверждают, что сообщили WhatsApp об уязвимости ещё в прошлом году. Но мессенджер исправил брешь только частично. Первые два способа всё ещё работают. [9to5]
7 комментариев