Kusabab liang kaamanan dina WhatsApp, panyerang tiasa ngarobih eusi pesen anu dikirim

9. 8. 2019

Seueur kerentanan anu diungkabkeun dina konperénsi kaamanan Hideung Hat. Diantarana aya bug dina aplikasi WhatsApp anu ngamungkinkeun panyerang ngarobih eusi pesen.

Liang dina WhatsApp tiasa dieksploitasi ku tilu cara anu mungkin. Anu paling pikaresepeun nyaéta nalika anjeun ngarobih eusi pesen anu anjeun kirimkeun. Hasilna, téks anu anjeun henteu leres-leres nyerat bakal ditingalikeun.

Aya dua pilihan:

Panyerang tiasa nganggo fitur "balesan" dina obrolan grup pikeun ngalieurkeun identitas pangirim pesen. Sanaos jalma anu dimaksud henteu aya dina obrolan grup.
Salajengna, anjeunna tiasa ngagentos téks anu dikutip ku eusi naon waé. Ku kituna bisa sagemblengna nimpa pesen aslina.

Dina kasus anu kahiji, gampang pikeun ngarobih téks anu dicutat supados katingali sapertos anjeun nyerat. Dina kasus anu kadua, anjeun henteu ngarobih idéntitas pangirim, tapi ngan saukur ngédit lapangan kalayan pesen anu dikutip. téks nu bisa sagemblengna ditulis ulang jeung pesen anyar bakal katempo ku sakabeh pamilon obrolan.

Video di handap ieu nunjukkeun sadayana sacara grafis:

Ahli Check Point ogé mendakan cara pikeun nyampur pesen umum sareng pribadi. Tapi, Facebook junun ngalereskeun ieu dina apdet WhatsApp. Sabalikna, serangan ditétélakeun di luhur teu dilereskeun ku a meureun malah moal bisa ngalereskeun eta. Dina waktos anu sami, kerentanan parantos dipikanyaho mangtaun-taun.

Kasalahanna hésé dibenerkeun kusabab énkripsi

Sakabeh masalah perenahna di enkripsi. WhatsApp ngandelkeun énkripsi antara dua pangguna. Kerentanan teras nganggo obrolan grup, dimana anjeun parantos ningali pesen anu didekripsi di payun anjeun. Tapi Facebook henteu tiasa ningali anjeun, janten dasarna henteu tiasa campur.

Para ahli nganggo versi wéb WhatsApp pikeun simulasi serangan éta. Hal ieu ngamungkinkeun anjeun masangkeun komputer (browser wéb) nganggo kode QR anu anjeun muatkeun kana smartphone anjeun.

Sakali konci pribadi sareng umum dihubungkeun, kode QR kalebet parameter "rusiah" dihasilkeun sareng dikirim tina aplikasi sélulér ka klien wéb WhatsApp. Nalika pangguna nyeken kode QR, panyerang tiasa nangkep momen sareng nyegat komunikasi.

Saatos panyerang gaduh detil ngeunaan hiji jalma, obrolan grup, kalebet ID unik, anjeunna tiasa, contona, ngarobih identitas pesen anu dikirim atanapi ngarobih eusina. Peserta obrolan anu sanés tiasa gampang ditipu.

Aya saeutik pisan résiko aub dina paguneman normal antara dua pihak. Tapi beuki badag paguneman, nu harder éta pikeun nganapigasi warta sarta gampang éta pikeun warta palsu kasampak kawas hal nyata. Ku kituna éta hadé pikeun ati-ati.

Bisa jadi kapentingan anjeun

iPad

WhatsApp ngarobih strategi sareng nyiapkeun aplikasi anu misah pikeun iPad, Mac sareng PC

David Hanak

Sumber: 9to5Mac

Topik: WhatsApp, smartphone, Facebook, 9to5mac, video, komputer, fungsi, pamaké, Aplikasi

Sawala ngeunaan artikel

Nami anjeun

komentar anjeun

Ku ngeusian data di luhur, abdi ngaku yen parusahaan téks pabrik s.r.o., kantor didaptarkeun di Brno, Durďákova 336/29, Černá Kutub, kode pos: 613 00, ID nomer: 06157831, didaptarkeun di Pangadilan Daerah di Brno, bagian C , Lebetkeun 100399, bakal ngolah data pribadi kuring disadiakeun dina formulir pendaptaran dieusian ku kuring dina dasar kapentingan sah TEXT FACTORY s.r.o nurutkeun Pasal 6 ayat 1 hurup f) GDPR jeung pikeun minuhan kawajiban hukum (Pasal 6, ayat 1, hurup c) GDPR), pikeun tujuan di handap ieu: kabutuhan pikeun mastikeun otorisasina nu datang ka situs web dioperasikeun ku TEXT FACTORY s.r.o. pikeun aktip nyumbang kana artikel diterbitkeun atawa dina diskusi forum sareng ngalaksanakeun hak TEXT FACTORY s.r.o salaku pangurus forum diskusi ieu. Langkung seueur inpormasi ngeunaan ngolah data sareng hak pribadi tiasa dipendakan di Palajaran ngeunaan panyalindungan data pribadi. sakabéh téks

Bisa jadi kapentingan anjeun

Kasalahanna hésé dibenerkeun kusabab énkripsi

Bisa jadi kapentingan anjeun

Patali