Najpopularniejsza na świecie aplikacja do przesyłania wiadomości może twierdzić, że jest ultra-bezpieczną fortecą, ale być może trzeba będzie przemyśleć ponownie po ujawnieniu krytycznej luki w zabezpieczeniach WhatsApp.
Badacze bezpieczeństwa z Ruhr University Bochum w Niemczech odkryli szereg luk w zabezpieczeniach w aplikacjach do obsługi zaszyfrowanych wiadomości, takich jak WhatsApp, Signal i Threema. Zespół ujawnił swoje ustalenia podczas konferencji Real World Crypto Security w środę w Zurychu w tym tygodniu. Podczas gdy wszystkie trzy wyżej wymienione aplikacje są dotknięte jedną lub drugą luką w zabezpieczeniach, ta dotycząca WhatsApp wydaje się być najpoważniejsza.
Według naukowców nieodłączna wada projektowa aplikacji czatu należącej do Facebooka pozwala każdemu, kto kontroluje serwery WhatsApp, wstawiać nowe osoby do prywatnych czatów grupowych bez konieczności posiadania zgody administratora, pomimo obietnic pełnego szyfrowania.
Podczas gdy każdy członek grupy nadal będzie otrzymywać powiadomienia o nowym członku dołączającym do grupy, zespół Uniwersytetu Ruhr twierdzi, że inteligentny haker kontrolujący serwery WhatsApp może zastosować kilka różnych obejść, aby uniknąć lub przynajmniej opóźnić wykrycie..
Odpowiedź WhatsApp
Podczas gdy WhatsApp przyznał się do ustaleń badaczy, rzecznik firmy w rozmowie telefonicznej z Wired nadal nalegał, aby powiadomienia były wysyłane do każdego istniejącego członka o każdym nowym uczestniku grupy. „Zbudowaliśmy WhatsApp tak, aby wiadomości grupowe nie mogły być wysyłane do ukrytego użytkownika”, jak cytuje rzecznik, który powiedział w e-mailu o luce w zabezpieczeniach WhatsApp.
W międzyczasie dyrektor ds. Bezpieczeństwa Facebooka, Alex Stamos, odrzucił ustalenia, publikując publiczny tweet.
https://twitter.com/alexstamos/status/951169174688026625
Wyjaśnienie luki w zabezpieczeniach WhatsApp
Problemy wynikają z zakresu, w jakim potencjalny napastnik może wykorzystać tę lukę w zabezpieczeniach WhatsApp. Mogli blokować wiadomości od administratorów lub innych członków, którzy mogą próbować ostrzegać wszystkich o nowych uczestnikach, poprzez buforowanie wiadomości, a następnie selektywne przepuszczanie niektórych. Zagrożony serwer WhatsApp pozwoli również hakerowi zdecydować, która wiadomość zostanie wysłana do kogo, niezależnie od zamierzonych odbiorców.
Proces staje się nieco trudniejszy w grupach z wieloma administratorami, gdzie aby wyglądać jak uprawnionych do wejścia do grupy, pośrednik musi wysyłać różne wiadomości do każdego administratora, sprawiając, że wygląda na to, że ktoś inny zaprosił je do grupy. Równie niepokojące jest twierdzenie, że nawet po wykryciu nieproszonego gościa haker może zapobiec wydaleniu go z grupy.