За год в WhatsApp так и не исправили две уязвимости из трёх

Мессенджером WhatsApp пользуется порядка 1,5 млрд пользователей по всему миру. И потому тот факт, что злоумышленники могут использовать платформу для манипуляций или фальсификации сообщений в чате, весьма тревожит. Проблему обнаружила израильская компания Checkpoint Research, рассказав об этом на конференции по безопасности Black Hat 2019 в Лас-Вегасе.

Как оказалось, брешь позволяет управлять функцией цитирования, меняя слова, и может перефразировать исходное сообщение пользователя, а также отправлять сообщения в группы вместо определённо человека.

Исследователи заявили, что предупредили WhatsApp о недостатках в августе прошлого года, но компания устранила только третью уязвимость. Две другие остаются активными и сегодня, то есть могут быть потенциально использованы злоумышленниками для злонамеренных действий. В WhatsApp от комментариев отказались. При этом в Facebook сообщили исследователям, что другие две проблемы не могут быть решены из-за «ограничений инфраструктуры» в приложении.

Отметим, что мессенджер используется во многих странах, в том числе в Индии, где им пользуется более 400 млн человек. Именно эта распространённость сделала приложение платформой для распространения вредоносной информации, ненавистнических высказываний, фальшивых новостей и различных форм откровенного контента.

А сквозное шифрование в WhatsApp усложняет отслеживание источника информации. При этом специалисты Checkpoint Research показали утилиту Checkpoint Research Burp Suit, которая легко обходит шифрование и позволяет производить манипуляции с текстом. Чтобы добиться этого, исследователи использовали веб-версию WhatsApp, которая позволяет пользователям связывать свои телефоны с помощью QR-кода.

Как оказалось, в процессе передачи открытого ключа его легко можно перехватить и получить доступ к чату. И на данный момент проблема остаётся актуальной.

Источник