Свежеобнаруженная уязвимость в WhatsAppпозволяет модифицировать уже отправленные сообщения, подменять имена отправителей или косвенным образом выдавать приватные сообщения за публичные. 

Взлом WhatsApp

Уязвимость в мессенджере WhatsApp позволяет изменять содержание уже отправленных и полученных сообщений, утверждают эксперты по безопасности компании CheckPoint.

С помощью определенных манипуляций уже полученные ответы в групповом чате можно видоизменить, цитируя сообщения так, что кажется, будто они поступают от пользователя, не входящего в группу, а также отправлять приватные сообщения, которые увидит только один человек в группе, но его ответы окажутся видны всем.

На скриншоте ниже представлен вариант атаки. Слева — телефон «мамы», на котором виден семейный чат, куда входят также «папа» и «сын». «Сын» посылает «маме» приватное сообщение насчет «вечеринки-сюрприза для папы», но для нее это сообщение выглядит так, будто оно опубликовано прямо в групповом чате.

Справа — телефон «папы», на котором он не видит сообщение, отправленное «сыном» насчет вечеринки, но видит раздраженный вопрос «мамы», зачем «сын» пишет про праздник (якобы) в общий чат и делает вполне очевидные выводы.

Подмена параметров

CheckPoint обнаружили в общей сложности три разных метода атаки на уязвимость в WhatsApp. Все они подразумевают применение социальной инженерии.

С точки зрения экспертов, злоумышленник имеет возможность использовать функцию цитирования в групповом чате для подмены личности отправителя, даже если сам отправитель в реальности не входит в состав группы. Также он может подменить часть текста в чьем-то ответе, вложив свои слова в чужие уста. Кроме того, он может отправить участнику другой группы приватное сообщение, которое будет выглядеть как сообщение для всех, при этом ответ будет действительно виден всем в группе.

Как пояснили эксперты, они смогли произвести обратную разработку алгоритма сквозного шифрования, используемого WhatsApp, благодаря чему смогли получить доступ к числовым значениям (параметрам), которыми обмениваются клиенты WhatsApp, и которые можно видоизменять.

Правда, для этого нужно обладать и приватным, и публичным ключом для сессии. Попросту говоря, манипуляции может производить только участник группового чата. Извне это провернуть невозможно.

Идеальный канал для fake news

Эксперты специально отмечают, что с пользовательской базой в 1,5 млрд пользователей, миллиардом групп и 65 млрд сообщений, отправляемых каждый день, мессенджер WhatsApp оказывается великолепным инструментом для распространения дезинформации, лжи, сплетен и мошенничества.

«Любую ложь проще распространить, чем опровергнуть, — отмечает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — На сегодняшний день пользователи Сети не слишком склонны перепроверять сведения, которые они получают, в особенности когда эти сведения им так или иначе импонируют. Мегапопулярный мессенджер, допускающий такие манипуляции с отправленными сообщениями, — это действительно почти идеальная платформа для распространения fake news. Остается надеяться, что разработчики WhatsApp смогут исправить проблему в ближайшее время».