Populara aplicatie WhatsApp nu e deloc sigura, un atacator putand vedea nestingherit convorbirile criptate din grupuri

0

whatsappNici nu a început bine 2018 și deja am văzut câteva probleme majore de securitate, cea mai nouă vizând o vulnerabilitate din platforma WhatsApp (și Signal) ce permite unui atacator să vadă nestingherit convorbirile (criptate) din grupuri.

Vă dați seama că sună cât se poate de rău pentru Facebook care ne-a asigurat în mai multe rânduri că se preocupă de păstrare intimității și că a integrat mecanisme de criptare a informațiilor schimbate de utilizatori.

Cercetătorii din domeniul securității de la Ruhr-Universität Bochum (RUB) din Germania au descoperit că oricine controlează server-e WhatsApp/Signal poate să adauge noi membri în grupurile private, permițându-le să spioneze conversațiile, fără să fie nevoie de permisiunea administratorului grupului.

Problema constă în faptul că server-ul are dificultăți în a autentifica corect persoana care adaugă noi membri în grup, detaliile fiind oferite într-un document denumit “More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema”, publicat deja aici.

Poate că și mai interesant este faptul că mulți utilizatori se bazează pe notificările vizuale ca să își dea seama dacă un nou utilizator este introdus sau scos dintr-un grup. În cazul de față, vulnerabilitatea permite adăugarea de membri fără ca aceștia să fie semnalizați în vreun fel.

Rezultatul este că cine are acces la un cont de administrator sau la server-ul WhatsApp poate să manipuleze/blocheze mesajele de semnalizare și în felul acesta prezența unui membru nou să nu poată fi descoperită.

Facebook știe despre problemă și a confirmat că ea există, doar că susține că odată ce un membru nou este adăugat într-un grup privat, vor exista mesaje de notificare, vizibile de către ceilalți participanți. Și că lucrează să remedieze problema.

Există și o parte bună – dacă putem să zicem asta – și anume că un atac de acest gen este greu de realizat și suntem sfătuiți să nu ne fie teamă :).

Adică nu poate fi făcut chiar de oricine – numai niște actori cu resurse suficiente și cunoștințe avansate ar putea face asta. Ia ghiciți, câți există?

Folosiți-vă imaginația … și porniți de la NSA către oricare altă entitate cu ”cunoștințe„ și ”resurse„.

via THN

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here

*

code