Kvůli bezpečnostním dírám ve WhatsApp mohou útočníci měnit obsah zasílaných zpráv

9. 8. 2019

Na právě probíhající bezpečnostní konferenci Black Hat bylo odhaleno mnoho zranitelností. Mezi ně se řadí i chyby v aplikaci WhatsApp, které dovolují útočníkům měnit obsah zpráv.

Díry ve WhatsApp lze zneužít hned třemi možnými způsoby. Nejzajímavější je pak ten, kdy zaměníte obsah odesílané zprávy. Ve výsledku se pak zobrazí text, který jste vlastně vůbec nenapsali.

Existují dvě možnosti:

Útočník může využít funkce „odpovědět“ ve skupinovém chatu, aby zaměnil totožnost odesilatele zprávy. A to i v případě, kdy se dotyčná osoba vůbec nenachází ve skupinovém chatu.
Dále může zaměnit citovaný text libovolným obsahem. Původní zprávu tak může zcela přepsat.

V prvním případě lze snadno zaměnit citovaný text tak, aby vypadal, že jste jej napsali vy. Ve druhém případě nezaměníte totožnost odesílatele, ale jednoduše upravíte pole s citovanou zprávou. Text lze kompletně přepsat a novou zprávu uvidí všichni účastníci chatu.

Názorně vše ukazuje následující video:

Odborníci z Check Point našli rovněž cestu, jak míchat veřejné a soukromé zprávy. Tu už však Facebook stihl v aktualizaci WhatsApp opravit. Naopak výše popsané útoky z neopravil a pravděpodobně ani opravit nemůže. O zranitelnosti se přitom ví už celé roky.

Chyba je těžko opravitelná kvůli šifrování

Celý problém spočívá v šifrování. WhatsApp spoléhá na šifrování mezi oběma uživateli. Zranitelnost pak využívá skupinového chatu, kde už před sebou vidíte dešifrované zprávy. Jenže ty Facebook nevidí, a tak v podstatě ani nemůže zasáhnout.

Odborníci pro simulaci útoku použili webovou verzi WhatsApp. Ta umožňuje napárovat počítač (webový prohlížeč) pomocí QR kódu, který načtete do svého smartphone.

Jakmile se propojí soukromý a veřejný klíč, je vygenerován QR kód včetně „tajného“ parametru, který je zaslán z mobilní aplikace do webového klienta WhatsApp. Zatímco uživatel skenuje QR kód, útočník může využít okamžik a zachytit komunikaci.

Poté co má útočník k dispozici detaily o osobě, skupinovém chatu včetně unikátního ID, může například zaměnit identitu u odesílaných zpráv nebo kompletně změnit jejich obsah. Ostatní účastníci chatu tak mohou být snadno oklamáni.

Při běžných konverzacích mezi dvěma stranami hrozí jen velmi malé riziko. Ale čím větší konverzace je, tím hůře se ve zprávách orientuje a tím snadněji vypadá podvržená zpráva jako skutečná. Je dobré se tedy mít na pozoru.

Mohlo by vás zajímat

iPad

WhatsApp mění strategii a chystá samostatné aplikace pro iPad, Mac i PC

David Hanák

Zdroj: 9to5Mac

Témata: WhatsApp, smartphone, Facebook, 9to5mac, video, počítač, funkce, uživatel, Aplikace

Diskuze k článku

Vaše jméno

Váš komentář

Vyplněním shora uvedených údajů beru na vědomí, že společnost TEXT FACTORY s.r.o., sídlem Brno, Durďákova 336/29, Černá Pole, PSČ: 613 00, IČ: 06157831, zapsané u Krajského soudu v Brně, oddíl C, vložka 100399, bude zpracovávat mé osobní údaje uvedené v rámci mnou vyplněného registračního formuláře na základě oprávněných zájmů TEXT FACTORY s.r.o. dle čl. 6 odst. 1 písm. f) GDPR a pro splnění právních povinností (čl. 6 odst. 1 písm. c) GDPR), a to pro tyto účely: nezbytnost zajistit oprávnění návštěvníka webových stránek provozovaných společností TEXT FACTORY s.r.o. přispívat aktivně ke zveřejněným článkům nebo v rámci diskusních fór a výkon práv TEXT FACTORY s.r.o. jako administrátora těchto diskusních fór. Více informací o zpracování osobních údajů a právech lze nalézt v Poučení o ochraně osobních údajů. celý text

Mohlo by vás zajímat

Chyba je těžko opravitelná kvůli šifrování

Mohlo by vás zajímat

Související