• I ricercatori hanno scoperto diverse vulnerabilità di WhatsApp durante la conferenza Black Hat 2019.
• Le vulnerabilità consentono ai cattivi attori di manipolare le chat.
• Facebook non ha una correzione per le vulnerabilità.

I recenti difetti di sicurezza di WhatsApp consentono ai cattivi attori di falsificare le chat e farli sembrare come se fossero venuti da te, ha riferito Check Point Research ieri. Check Point Research ha annunciato i suoi risultati durante la conferenza sulla sicurezza di Black Hat 2019.

Secondo i ricercatori, c'erano tre modi per sfruttare le vulnerabilità:

1. Utilizzare la funzione "preventivo" in una conversazione di gruppo per modificare l'identità del mittente, anche se quella persona non è un membro del gruppo.
2. Modifica il testo della risposta di qualcun altro, essenzialmente mettendo le parole in bocca.
3. Invia un privato a un altro partecipante al gruppo travestito da pubblico per tutti, quindi quando la persona interessata risponde, è visibile a tutti nella conversazione.

Check Point ha informato WhatsApp delle vulnerabilità nell'agosto 2018. WhatsApp ha quindi risolto il terzo metodo. Tuttavia, i ricercatori hanno scoperto che è ancora possibile manipolare le citazioni e falsificarle. Check Point ha utilizzato la sua estensione Burp Suit per interrompere la crittografia end-to-end di WhatsApp e decrittografare le chat. L'elemento sfruttabile qui è la versione web di WhatsApp, che utilizza i codici QR per accoppiare il telefono.

Check Point ha prima ottenuto la coppia di chiavi pubblica e privata creata prima che WhatsApp generasse un codice QR. In combinazione con il parametro "segreto" inviato dal telefono al client Web WhatsApp quando si esegue la scansione del codice QR, l'estensione Burp Suit semplifica il monitoraggio e la decrittografia di messaggi.

Un portavoce di Facebook ha fornito la seguente dichiarazione a Il prossimo web:

Abbiamo esaminato attentamente questo problema un anno fa ed è falso suggerire che esiste una vulnerabilità con la sicurezza che forniamo su WhatsApp. Lo scenario qui descritto è semplicemente l'equivalente su dispositivo mobile dell'alterazione delle risposte in una discussione via email per far sembrare che una persona non abbia scritto. Dobbiamo essere consapevoli del fatto che affrontare le preoccupazioni sollevate da questi ricercatori potrebbe rendere WhatsApp meno privato, come la memorizzazione di informazioni sull'origine di s.

Sfortunatamente, la società non sembra avere una risoluzione per le vulnerabilità di WhatApp. Poiché il servizio di messaggistica utilizza la crittografia end-to-end, Facebook non può accedere alle versioni decriptate di s. Ciò significa che Facebook non può intervenire se i cattivi attori sfruttano le suddette vulnerabilità.