Petr Škuta Daghang mga kahuyangan ang gipadayag sa nagpadayon nga Black Hat security conference. Lakip niini ang mga bug sa aplikasyon sa WhatsApp nga nagtugot sa mga tig-atake nga usbon ang sulud sa mga mensahe.
Ang mga lungag sa WhatsApp mahimong mapahimuslan sa tulo ka posible nga mga paagi. Ang labing makaiikag mao kung imong usbon ang sulud sa mensahe nga imong gipadala. Ingon usa ka sangputanan, ang teksto nga dili gyud nimo gisulat ang ipakita.
Mahimo nga interes nimo
Adunay duha ka kapilian:
- Ang usa ka tig-atake mahimong mogamit sa "reply" nga bahin sa usa ka grupo nga chat aron malibog ang pagkatawo sa nagpadala sa mensahe. Bisan kung ang tawo nga gipangutana wala sa chat sa grupo.
- Dugang pa, mahimo niyang pulihan ang gikutlo nga teksto sa bisan unsang sulud. Sa ingon kini hingpit nga ma-overwrite ang orihinal nga mensahe.
Sa una nga kaso, dali nga usbon ang gikutlo nga teksto aron kini tan-awon nga imong gisulat kini. Sa ikaduhang kaso, dili nimo usbon ang pagkatawo sa nagpadala, apan i-edit lang ang field gamit ang gikutlo nga mensahe. Ang teksto mahimong hingpit nga masulat pag-usab ug ang bag-ong mensahe makita sa tanang mga partisipante sa chat.
Ang mosunod nga video nagpakita sa tanan nga graphically:
Ang mga eksperto sa Check Point nakakita usab og paagi sa pagsagol sa publiko ug pribado nga mga mensahe. Bisan pa, ang Facebook nakahimo sa pag-ayo niini sa pag-update sa WhatsApp. Sa kasukwahi, ang mga pag-atake nga gihulagway sa ibabaw wala gitul-id sa a tingali dili gani makaayo niini. Sa parehas nga oras, nahibal-an ang pagkahuyang sa daghang mga tuig.
Ang sayup lisud ayuhon tungod sa pag-encrypt
Ang tibuok problema anaa sa encryption. Ang WhatsApp nagsalig sa encryption tali sa duha ka tiggamit. Ang pagkahuyang unya naggamit sa usa ka grupo nga chat, diin makita na nimo ang mga decrypted nga mensahe sa imong atubangan. Apan ang Facebook dili makakita kanimo, mao nga sa panguna dili kini makapangilabot.
Gigamit sa mga eksperto ang web nga bersyon sa WhatsApp aron i-simulate ang pag-atake. Kini nagtugot kanimo sa pagpares sa usa ka kompyuter (web browser) gamit ang QR code nga imong gikarga sa imong smartphone.
Kung ma-link na ang pribado ug publiko nga yawe, ang usa ka QR code lakip ang usa ka "sekreto" nga parameter ang mabuhat ug ipadala gikan sa mobile app ngadto sa kliyente sa web sa WhatsApp. Samtang ang user nag-scan sa QR code, ang usa ka tig-atake makasakmit sa higayon ug makapugong sa komunikasyon.
Pagkahuman sa usa ka tig-atake adunay mga detalye bahin sa usa ka tawo, usa ka chat sa grupo, lakip ang usa ka talagsaon nga ID, mahimo niya, pananglitan, usbon ang pagkatawo sa gipadala nga mga mensahe o hingpit nga usbon ang ilang sulud. Ang ubang mga partisipante sa chat sa ingon dali nga malingla.
Adunay gamay kaayo nga risgo nga nalangkit sa normal nga panag-istoryahanay tali sa duha ka partido. Apan kon mas dako ang panag-istoryahanay, mas lisud ang pag-navigate sa balita ug mas sayon alang sa usa ka peke nga balita nga tan-awon sama sa tinuod nga butang. Busa maayo nga mag-amping.
Mahimo nga interes nimo
David Hanak Source: 9to5Mac
