Gadgetshowto
Cea mai populară aplicație de mesagerie din lume s-ar putea să pretindă că este o fortăreață ultra-sigură, dar poate că ar trebui să aibă o regândire după ce a fost expus un defect critic de securitate WhatsApp.
Cercetătorii de securitate de la Universitatea Ruhr din Bochum, Germania, au descoperit o serie de vulnerabilități de securitate în aplicațiile de mesagerie criptate precum WhatsApp, Signal și Threema. Echipa și-a dezvăluit concluziile la conferința de securitate Crypto World Real, miercuri, la Zurich, săptămâna aceasta. În timp ce toate cele trei aplicații menționate anterior sunt afectate de o vulnerabilitate sau alta, cea care afectează WhatsApp pare a fi cea mai gravă.
Potrivit cercetătorilor, o eroare de design inerentă în aplicația de chat deținută de Facebook permite oricui care controlează serverele WhatsApp să introducă persoane noi în chaturile de grup private fără a avea nevoie de permisiunea de administrator, în ciuda promisiunilor de criptare end-to-end.
În timp ce fiecare membru al grupului va primi în continuare notificări cu privire la un nou membru care se alătură grupului, echipa Universității Ruhr spune că un hacker inteligent care controlează serverele WhatsApp poate folosi câteva soluții diferite pentru a evita sau cel puțin a întârzia detectarea.
Răspunsul WhatsApp
În timp ce WhatsApp a recunoscut descoperirile cercetătorilor, un purtător de cuvânt al companiei într-o conversație telefonică cu Wired, a insistat în continuare că vor fi trimise notificări către fiecare membru existent cu privire la orice nou intrat într-un grup. „Am construit WhatsApp, astfel încât mesajele de grup să nu poată fi trimise unui utilizator ascuns”, a declarat un raport purtător de cuvânt pe un e-mail, despre defectul de securitate WhatsApp.
Între timp, directorul de securitate al Facebook, Alex Stamos, a respins concluziile cu un tweet public.
https://twitter.com/alexstamos/status/951169174688026625
Explicarea defectului de securitate WhatsApp
Problemele apar din cauza măsurii în care un potențial atacator ar putea exploata acest defect de securitate WhatsApp. Aceștia ar putea bloca mesajele de la administratori sau de la alți membri care ar putea încerca să alerteze pe toată lumea cu privire la noii participanți, prin memorarea în cache a mesajelor și apoi lăsând selectiv unii să treacă. Un server WhatsApp compromis va permite, de asemenea, hackerului să decidă ce mesaj primește către cine, indiferent de destinatarii vizați.
Procesul devine puțin mai dificil în grupuri cu mai mulți administratori, unde, pentru a se face să pară intranți legitimi într-un grup, omul din mijloc trebuie să trimită mesaje diferite fiecărui administrator, făcând să pară că altul a invitat le la grup. Ceea ce este la fel de alarmant este afirmația că, chiar și după ce a fost văzut ca invitat neinvitat, hackerul poate împiedica expulzarea lor din grup.
