• Els investigadors van descobrir diverses vulnerabilitats de WhatsApp durant la conferència de Black Hat 2019.
• Les vulnerabilitats permeten als mals actors manipular els xats.
• Facebook no té solucions per a les vulnerabilitats.

Els darrers defectes de seguretat de WhatsApp permeten als actors dolents fer malbé els xats i fer que semblin que venien de vosaltres, va informar ahir Check Point Research. Check Point Research va anunciar les seves conclusions durant la conferència de seguretat Black Hat 2019.

Segons els investigadors, hi havia tres formes d'explotar les vulnerabilitats:

1. Utilitzeu la funció de "cotització" en una conversa de grup per canviar la identitat de l'emissor, fins i tot si aquesta persona no és membre del grup.
2. Modifiqueu el text de la resposta d’una altra persona, essencialment posant-los paraules a la boca.
3. Envia un privat a un altre participant del grup que es disfressi de públic per a tots, de manera que quan l’orientat respongui, és visible per a tothom a la conversa.

Check Point va informar WhatsApp de les vulnerabilitats a l’agost de 2018. A continuació, WhatsApp va solucionar el tercer mètode. Tanmateix, els investigadors han trobat que encara és possible manipular les citades i fer-ne malbé. Check Point va utilitzar la seva extensió Burp Suit per desactivar el xifratge de final de punta de WhatsApp i desxifrar els xats de xat. L’element explotable aquí és la versió web de WhatsApp, que utilitza codis QR per sincronitzar-los amb el vostre telèfon.

Check Point va obtenir per primera vegada la parella de claus pública i privada creada abans que WhatsApp generi un codi QR. Combinat amb el paràmetre "secret" enviat pel telèfon al client web de WhatsApp quan escanegeu el codi QR, l'extensió Burp Suit facilita la monitorització i la desxifració de s.

Un portaveu de Facebook va proporcionar la següent declaració a El web següent:

Hem revisat detingudament aquest problema fa un any i és fals suggerir que hi ha una vulnerabilitat amb la seguretat que proporcionem a WhatsApp. L'escenari que es descriu aquí és només l'equivalent mòbil de modificar les respostes en un fil de correu electrònic per fer que sembli una cosa que una persona no ha escrit. Hem de tenir present que fer front a les preocupacions plantejades per aquests investigadors pot fer que WhatsApp sigui menys privat, com ara emmagatzemar informació sobre l’origen dels s.

Malauradament, l’empresa no sembla tenir cap resolució per a les vulnerabilitats de WhatApp. Com que el servei de missatgeria utilitza xifratge de punta a extrem, Facebook no pot accedir a les versions desxifrades de les. Això significa que Facebook no pot intervenir si els actors dolents exploten les vulnerabilitats esmentades anteriorment.