• Natuklasan ng mga mananaliksik ang ilang mga kahinaan sa WhatsApp sa kumperensya ng Black Hat 2019.
• Pinapayagan ng mga kahinaan ang masamang aktor na manipulahin ang chat s.
• Ang Facebook ay walang pag-aayos para sa mga kahinaan.

Ang pinakahuling mga kakulangan sa seguridad ng WhatsApp ay pinapayagan ang mga masasamang aktor na makamit ang mga chat s at gawin silang magmukhang nagmula sa iyo, iniulat na ulat ng Check Point Research. Inihayag ng Check Point Research ang mga natuklasan nito sa pagpupulong sa seguridad ng Black Hat 2019.

Ayon sa mga mananaliksik, mayroong tatlong paraan ng pagsasamantala sa mga kahinaan:

1. Gamitin ang tampok na "quote" sa pag-uusap ng pangkat upang mabago ang pagkakakilanlan ng nagpadala, kahit na ang taong iyon ay hindi isang miyembro ng pangkat.
2. Baguhin ang teksto ng tugon ng iba, mahalagang ilagay ang mga salita sa kanilang bibig.
3. Magpadala ng isang pribado sa isa pang kalahok ng pangkat na nakikilala bilang isang pampubliko para sa lahat, kaya kapag tumugon ang target na indibidwal, makikita ng lahat sa pag-uusap.

Ipinaalam sa Check Point ang WhatsApp tungkol sa mga kahinaan sa Agosto 2018. Pagkatapos ay naayos ng WhatsApp ang pangatlong pamamaraan. Gayunpaman, natagpuan ng mga mananaliksik na posible pa ring manipulahin ang mga sipi at masira ang mga ito. Ginamit ng Check point ang Burp suit Extension nito upang masira ang mga end-to-end na pag-encrypt ng WhatsApp at i-decrypt ang chat s. Ang mapagsamantalang elemento dito ay ang web bersyon ng WhatsApp, na gumagamit ng mga QR code upang ipares sa iyong telepono.

Naunang nakuha ng Check Point ang pampubliko at pribadong key na pares na nilikha bago makabuo ang WhatsApp ng isang QR code. Pinagsama sa parameter na "lihim" na ipinadala ng iyong telepono sa client ng WhatsApp web kapag na-scan mo ang QR code, ginagawang madali itong masubaybayan ng Burp Suit Extension upang masubaybayan at i-decrypt s.

Isang tagapagsalita ng Facebook ang nagbigay ng sumusunod na pahayag sa Ang Susunod na Web:

Maingat naming suriin ang isyung ito isang taon na ang nakalilipas at hindi totoo ang iminumungkahi na may kahinaan sa seguridad na ibinibigay namin sa WhatsApp. Ang senaryo na inilarawan dito ay katumbas lamang ng mobile na katumbas ng pagbabago ng mga tugon sa isang email thread upang gawin itong mukhang isang bagay na hindi isinulat ng isang tao. Kailangan nating tandaan na ang pagtugon sa mga alalahanin na pinalaki ng mga mananaliksik na ito ay maaaring gawing pribado ang WhatsApp - tulad ng pag-iimbak ng impormasyon tungkol sa pinagmulan ng s.

Sa kasamaang palad, ang kumpanya ay tila walang resolusyon para sa mga kahinaan sa WhatApp. Dahil ang serbisyo ng pagmemensahe ay gumagamit ng end-to-end encryption, hindi ma-access ng Facebook ang mga naka-decot na bersyon ng s. Nangangahulugan ito na hindi makagambala ang Facebook kung sinasamantala ng masamang aktor ang nabanggit na kahinaan.