• Forskare avslöjade flera WhatsApp-sårbarheter under Black Hat 2019-konferensen.
• Sårbarheterna tillåter dåliga aktörer att manipulera chatt.
• Facebook har ingen korrigering för sårbarheterna.

WhatsApps senaste säkerhetsbrister tillåter dåliga aktörer att förfalska chatt och få dem att se ut som om de kom från dig, rapporterade Check Point Research igår. Check Point Research meddelade sina resultat under säkerhetskonferensen Black Hat 2019.

Enligt forskarna fanns det tre sätt att utnyttja sårbarheterna:

1. Använd "citat" -funktionen i en gruppkonversation för att ändra avsändarens identitet, även om personen inte är medlem i gruppen.
2. Ändra texten till någon annans svar, i huvudsak lägga ord i munnen.
3. Skicka en privat till en annan gruppdeltagare som är förklädd som en allmänhet för alla, så när den riktade individen svarar är den synlig för alla i konversationen.

Check Point informerade WhatsApp om sårbarheterna i augusti 2018. WhatsApp fixade sedan den tredje metoden. Men forskare fann att det fortfarande är möjligt att manipulera citerade s och förfalska dem. Check Point använde sin Burp Suit-förlängning för att bryta WhatsApps kryptering från slutet till slutet och dekryptera chatt. Det exploaterbara elementet här är webbversionen av WhatsApp, som använder QR-koder för att para ihop med din telefon.

Check Point fick först det offentliga och privata nyckelpar som skapats innan WhatsApp genererar en QR-kod. I kombination med den ”hemliga” parametern som skickas av din telefon till WhatsApp-webbklienten när du skannar QR-koden gör Burp Suit Extension det enkelt att övervaka och dekryptera s.

En talesman på Facebook lämnade följande uttalande till Nästa webb:

Vi har granskat detta problem noggrant för ett år sedan och det är falskt att föreslå att det finns en sårbarhet med säkerheten vi tillhandahåller på WhatsApp. Scenariot som beskrivs här är bara det mobila ekvivalentet med att ändra svar i en e-posttråd för att det ska se ut som något en person inte skrev. Vi måste vara medvetna om att det att göra problem med dessa forskare kan göra WhatsApp mindre privat - till exempel att lagra information om ursprunget till s.

Tyvärr verkar företaget inte ha en upplösning för WhatApp-sårbarheterna. Eftersom meddelandetjänsten använder en-till-än-kryptering kan Facebook inte komma åt dekrypterade versioner av s. Det betyder att Facebook inte kan ingripa om dåliga aktörer utnyttjar de nämnda sårbarheterna.