- Pesquisadores descobriram várias vulnerabilidades do WhatsApp durante a conferência Black Hat 2019.
- As vulnerabilidades permitem que atores ruins manipulem os bate-papos.
- O Facebook não tem uma correção para as vulnerabilidades.
As recentes falhas de segurança do WhatsApp permitem que maus atores falsifiquem os bate-papos e façam com que pareçam vir de você, informou ontem a Check Point Research. A Check Point Research anunciou suas descobertas durante a conferência de segurança Black Hat 2019.
Segundo os pesquisadores, havia três maneiras de explorar as vulnerabilidades:
- Use o recurso "cotação" em uma conversa em grupo para alterar a identidade do remetente, mesmo que essa pessoa não seja um membro do grupo.
- Altere o texto da resposta de outra pessoa, essencialmente colocando palavras na boca.
- Envie um particular a outro participante do grupo que esteja disfarçado de público para todos, para que, quando o indivíduo-alvo responder, ele fique visível para todos na conversa.
A Check Point informou o WhatsApp sobre as vulnerabilidades em agosto de 2018. O WhatsApp então corrigiu o terceiro método. No entanto, os pesquisadores descobriram que ainda é possível manipular se citado e falsificá-los. A Check Point usou sua extensão Burp Suit para quebrar a criptografia de ponta a ponta do WhatsApp e descriptografar os bate-papos. O elemento explorável aqui é a versão web do WhatsApp, que usa códigos QR para parear com seu telefone.
A Check Point obteve primeiro o par de chaves pública e privada criado antes do WhatsApp gerar um código QR. Combinado com o parâmetro "secreto" enviado pelo telefone para o cliente da Web do WhatsApp quando você digitaliza o código QR, o Burp Suit Extension facilita o monitoramento e a descriptografia de s.
Um porta-voz do Facebook forneceu a seguinte declaração para A Próxima Web:
Analisamos cuidadosamente esse problema há um ano e é falso sugerir que há uma vulnerabilidade com a segurança que fornecemos no WhatsApp. O cenário descrito aqui é apenas o equivalente móvel de alterar respostas em um segmento de e-mail para parecer algo que uma pessoa não escreveu. Precisamos estar cientes de que lidar com as preocupações levantadas por esses pesquisadores poderia tornar o WhatsApp menos privado - como armazenar informações sobre a origem de s.
Infelizmente, a empresa não parece ter uma solução para as vulnerabilidades do WhatApp. Como o serviço de mensagens usa criptografia de ponta a ponta, o Facebook não pode acessar versões descriptografadas de s. Isso significa que o Facebook não pode intervir se maus atores explorarem as vulnerabilidades mencionadas acima.